Este procesador analiza logs mediante las reglas de parseo grok disponibles para un conjunto de orígenes. Las reglas se aplican automáticamente a logs basándose en el origen del log. Por lo tanto, los logs deben tener un campo source con el nombre del origen. Si este campo no se añade cuando el log se envía al worker de pipelines de observabilidad, puedes utilizar el procesador Add field (Añadir campo) para añadirlo.

Si el campo source de un log coincide con uno de los conjuntos de reglas de parseo grok, el campo message del log se comprueba con esas reglas. Si una regla coincide, los datos analizados resultantes se añaden al campo message como un objeto JSON, sobrescribiendo el message original.

Si no hay un campo source en el log, o ninguna regla coincide con el log message, entonces no se realizan cambios en el log y se envía al siguiente paso del pipeline.

Para configurar el analizador sintáctico grok, define un filtro de consulta. Sólo se procesan los logs que coincidan con la [consulta de filtro] especificada (#filter-query-syntax). Todos los logs, independientemente de si coinciden o no con la consulta de filtro, se envían al siguiente paso del pipeline.

Para probar muestras de log para las reglas predefinidas:

1. Haz clic en el botón Preview Library Rules (Previsualizar reglas de biblioteca).
2. Busca o selecciona un origen en el menú desplegable.
3. Introduce una muestra de log para probar las reglas de parseo para ese origen.

Para añadir una regla personalizada de parseo:

1. Haz clic en Add Custom Rule (Añadir regla personalizada).
2. Si deseas clonar una regla de biblioteca, selecciona Clone library rule (Clonar regla de biblioteca) y, a continuación, el origen de biblioteca en el menú desplegable.
3. Si deseas crear una regla personalizada, selecciona Custom (Personalizada) y, a continuación, introduce el source. Las reglas de parseo se aplican a logs con ese source.
4. Introduce muestras de log para probar las reglas de parseo.
5. Introduce las reglas para el parseo de los logs. Consulta Parseo para obtener más información sobre la escritura de reglas de parseo.
   Nota: Los filtros url, useragent y csv no están disponibles.
6. Haz clic en Advanced Settings (Configuración avanzada) si deseas añadir reglas auxiliares. Consulta Uso de reglas auxiliares para factorizar varias reglas de parseo para obtener más información.
7. Haz clic en Add Rule (Añadir regla).

Sintaxis de las consultas de filtro

Cada procesador tiene una consulta de filtro correspondiente en sus campos. Los procesadores sólo procesan los logs que coinciden con su consulta de filtro. Y en todos los procesadores, excepto el procesador de filtro, los logs que no coinciden con la consulta se envían al siguiente paso de la cadena. Para el procesador de filtro, los logs que no coinciden con la consulta se descartan.

Para cualquier atributo, etiqueta (tag) o par key:value que no sea un atributo reservado, la consulta debe empezar por @. Por el contrario, para filtrar atributos reservados, no es necesario añadir @ delante de la consulta de filtro.

Por ejemplo, para filtrar y descartar logs status:info, tu filtro puede definirse como NOT (status:info). Para filtrar y descartar system-status:info, el filtro debe ser NOT (@system-status:info).

Ejemplos de consulta de filtro:

• NOT (status:debug): Esto filtra sólo los logs que no tienen el estado DEBUG.
• status:ok service:flask-web-app: Esto filtra todos los logs con el estado OK de tu servicioflask-web-app.
  • Esta consulta también se puede escribir como: status:ok AND service:flask-web-app.
• host:COMP-A9JNGYK OR host:COMP-J58KAS: Esta consulta de filtro sólo coincide con los logs de hosts etiquetados.
• @user.status:inactive: Esto filtra los logs con el estado inactive anidado bajo el atributo user.

Las consultas ejecutadas en el worker de Observability Pipelines distinguen entre mayúsculas y minúsculas. Obtén más información sobre cómo escribir consultas de filtro con la sintaxis de búsqueda de logs de Datadog.