如何为logstash编写定制的grok

我试图测试一些自定义日志过滤器的日志存储，但不知何故，我无法得到它，我谷歌搜索了许多例子，但我无法创建一个我想要的

下面是我的日志模式：

testhost-in2,19/01/11,06:34,04-mins,arnav,arnav 2427 0.1 0.0 58980 580 ? S 06:30 0:00 rm -rf /test/ehf/users/arnav-090119-184844,/dv/ehf/users/arnav-090119-
testhost-in2,19/01/11,06:40,09-mins,arnav,arnav 2427 0.1 0.0 58980 580 ? S 06:30 0:00 rm -rf /dv/ehf/users/arnav-090119-184844,/dv/ehf/users/arnav-090119-\
testhost-in2,19/01/11,06:45,14-mins,arnav,arnav 2427 0.1 0.0 58980 580 ? S 06:30 0:01 rm -rf /dv/ehf/users/arnav-090119-184844,/dv/ehf/users/arnav-090119-\

下面是我试图创建但不起作用的内容

HOSTNAME:hostname  DATE:date HOURS_Time:hour_min  USERNAME: username USERNAME:username  NUMBER:pid   COMMAND

任何帮助都将不胜感激

尝试：

%{HOSTANME}%{TIMESTAMP_ISO8601:RecordedDateTimeStamp} %{USERNAME:User} %{USERNAME:User} %{NUMBER:PID} %{FLOAT:mem} %{FLOAT:res}  %{NUMBER:PID} %{NUMBER:PID} %{GREEDYDATA}

及

---

好的开始！下面是一个应该更有效的grok模式：

%{HOSTNAME:hostname},%{DATE:date},%{HOUR:hour1}:%{MINUTE:minute1},%{NUMBER}-%{WORD},%{USER:user},%{USER:user2} %{NUMBER:pid} %{NUMBER:float} %{NUMBER:float} %{NUMBER:number1} %{NUMBER:number2} %{DATA} %{HOUR:hour2}:%{MINUTE:minute2} %{HOUR:hour3}:%{MINUTE:minute3} %{GREEDYDATA:command},%{PATH:path}

---

好的开始！下面是一个应该更有效的grok模式：

%{HOSTNAME:hostname},%{DATE:date},%{HOUR:hour1}:%{MINUTE:minute1},%{NUMBER}-%{WORD},%{USER:user},%{USER:user2} %{NUMBER:pid} %{NUMBER:float} %{NUMBER:float} %{NUMBER:number1} %{NUMBER:number2} %{DATA} %{HOUR:hour2}:%{MINUTE:minute2} %{HOUR:hour3}:%{MINUTE:minute3} %{GREEDYDATA:command},%{PATH:path}

---

任何帮助都将不胜感激！你能展示一下到目前为止你都做了些什么吗？@Val，我刚刚在帖子中更新了，但我没有得到确切的信息。任何帮助都将不胜感激！你能展示一下到目前为止你都做了些什么吗？@Val，我刚刚在帖子中更新了，但我没有完全理解。@Val，和往常一样，这是一个非常好的解决方案，我喜欢你的风格和独特的专业知识。一英里。谢谢！当我有能力的时候，总是乐意帮忙；-）在这个问题上，你永远是我的导师！又是一英里。除了GitHub上的一篇，你知道我在哪里可以找到这些grok模式和解释吗？你可以从这篇好文章开始：@Val，和往常一样，我喜欢你在这个问题上的风格和独特的专业知识。一英里。谢谢！当我有能力的时候，总是乐意帮忙；-）在这个问题上，你永远是我的导师！又是一英里。除了在GitHub上的一个模式外，你知道我在哪里可以找到这些grok模式和解释。你可以从这篇好文章开始：