Parser
Tạo và quản lý Parser
Hướng dẫn sử dụng tính năng Parser
Tạo Parser mới
Bước 1: Mở giao diện tạo mới
- Từ thanh menu bên trái chọn: Data Collections → Parsers
- Tại màn hình danh sách parser, nhấn nút "Create Parser".
Bước 2: Cấu hình Parser
a. Thông tin cơ bản
Nhập các thông tin cơ bản cho parser, bao gồm:
- Parser Name: tên parser
- Description: mô tả ngắn gọn về mục đích parser
b. Viết Script cho Parser
Người dùng viết nội dung parser dựa trên cấu trúc chuẩn của parser (tham khảo tài liệu hướng dẫn chi tiết tại Configuration Manual).
Bước 3: Kiểm tra Parserảm bảo script đã trích xuất và map đúng các trường dữ liệu từ log thô.
Người dùng thực hiện theo các bước sau:
a. Gán dữ liệu log thô
- Nhấn vào biểu tượng thêm dữ liệu (Add Raw Data) để mở popup nhập dữ liệu.
- Dán nội dung log thô vào popup.
- Sau khi thêm, log sẽ hiển thị trong phần Data Test:
- Mỗi dòng tương ứng với một log.
- Có thể thêm tối đa 10 dòng log để kiểm tra.
💡 Mẹo: Log thô có thể lấy từ tab Event trong tính năng Search.
b. Chạy kiểm tra Parser
- Click chuột vào một log trong danh sách Data Test.
- Nhấn biểu tượng Run Test để áp dụng parser script cho log được chọn.
- Hệ thống sẽ:
- Kiểm tra cú pháp của parser:
- Nếu hợp lệ, hiển thị thông báo "The parser is valid!" ở cuối phần Parser Script.
- Nếu lỗi, hiển thị thông báo lỗi cụ thể (tên trường hoặc cú pháp) ở cuối script.
- Nếu parser hợp lệ, hệ thống sẽ chạy script và hiển thị kết quả ở phần Results.
- Kiểm tra cú pháp của parser:
c. Kết quả sau khi parse
Phần Results hiển thị kết quả ở 2 tab:
| Tab | Mô tả |
|---|---|
| Parsed | Hiển thị danh sách các trường đã được map thành công theo định dạng chuẩn (ví dụ: timestamp, host, source_ip, v.v). Mỗi trường sẽ hiển thị tên và giá trị trích xuất. |
| Unparsed | Liệt kê các trường chưa được map, kèm lý do (ví dụ: "not found"). |
💡 Lưu ý:
- Nếu tất cả các trường đều map chính xác, bạn sẽ thấy toàn bộ kết quả trong tab Parsed.
- Nếu parser tham chiếu sai hoặc log thiếu trường, các trường lỗi sẽ xuất hiện trong tab Unparsed.
Bước 4: Lưu Parser
Sau khi parser được kiểm tra thành công:
- Nhấn nút "Save" để lưu lại.
- Hệ thống sẽ tạo một bản ghi parser mới và hiển thị trong danh sách Parser List.
Các use case khác
Chỉnh sửa Parser
⚠️ Điều kiện: Chỉ có thể chỉnh sửa parser khi trạng thái = Inactive.
- Nhấn nút "Edit" trong cột Action để mở giao diện chỉnh sửa.
- Cập nhật thông tin hoặc script cần thay đổi.
- Nhấn "Update" để lưu phiên bản mới.
Xóa Parser
⚠️ Điều kiện: Chỉ có thể xóa parser khi trạng thái = Inactive.
- Nhấn nút "Delete" trong cột Action.
- Hệ thống hiển thị popup xác nhận xóa.
- Nhấn "Delete" để xác nhận → parser sẽ bị xóa vĩnh viễn khỏi hệ thống.
Trạng thái Parser
| Trạng thái | Mô tả |
|---|---|
| Inactive | Parser chưa được sử dụng bởi bất kỳ connection nào. Parser ở trạng thái này cho phép chỉnh sửa hoặc xóa. |
| Active | Parser đang được sử dụng bởi ít nhất một connection. Parser không thể chỉnh sửa hoặc xóa cho đến khi được ngắt liên kết. |