Ayuda con Grok pattern

Pablo Gon

Algún conocedor de grok patterns que me pueda ayudar?
tengo este mensaje: 

..., Duration: 0h:30m:04s, Bytes xmt: 8899, ...
 

quiero extraer duracion en formato hh:mm:ss

aplico: %{HOUR}h:%{MINUTE}m:%{SECOND}s
 Y me devuelve: 

HOUR
0
MINUTE
30
SECOND
04

quisiera tenerlo de esta forma 00:30:04 

Como pudeo hacer para skippear el H y M???

Muchas gracias!

edux

Buenas, no se si lo vas a poder resolver en grok, pero si estas usando logstash podes agregar un mutate add field para construir el field que necesitas

Un patern asi \ADuration: %{HOUR:h}h:%{MINUTE:m}m:%{SECOND:s}s, Bytes xmt:

y despues en tu logstash.conf podes tirar el mutate y si queres remover h, m, s despues.

mutate {
add_field => { "mytimestamp" => "%{h}:%{m}:%{s}"}
}