在 Splunk 中将带参数的 url 合并为 1

Question

我正在为我们的服务创建仪表板。我想为URL请求创建指标。 假设有一个类似的URL类似的URL：

/api/v1/users/{userId}/settings

我在Splunk中有关注的查询，

url=*/api/v1/users/*/settings 
| stats avg(timeTaken) as avg_latency, p99(timeTaken) as "p99(ms)", perc75(timeTaken) as "p75(ms)", count  as total_requests, count(eval(responseStatus=500)) as failed_requests by url 
| eval "success_rate"=round((total_requests - failed_requests)/total_requests*100,2) 
| eval avg = round(avg) 
| sort success_rate

我想要的就是有一个带有一个常见URL的桌子，显示了所有指标。但是，相反，我获得了一个带有不同参数的URL列表的表。

Answer 1

您要创建一个url的字段，该字段是URL减去用户ID部分，因此统计数据将分组为url。

您可以使用 split（URL，“/”）来做到这一点，以制作URL的MV字段，并根据URL取出两种方式之一。

mvfilter（evar（x！= userId））

或创建了一个新的mvfield，并使用以下方式在mvfield中删除了userId： add/edit/edit/edit/delete/delete mvfield

只要您对所有URL做同样的事情，就可以选择用“ {UserId}”替换用户ID，而不是删除用户ID。

然后，您可以使用 mvjoin（url，“/”）重新加入URL，

希望我能正确理解您的问题，这对您有帮助！

Answer 2

您可以尝试使用 eval 在调用 stats 之前：

| eval url=replace(url,"\/\d+\/settings","/settings")

如果结果表明用户 ID 很重要，请在运行之前将其拉入自己的字段replace()：

| rex field=url "\/(?<userid>\d+)\/settings"

注释扩展

对于 URL 的多种可能结尾，请尝试如下操作：

index=ndx sourcetype=srctp URL IN("*/api/v1/users/*/settings","*/api/v1/users/*/logout","*/api/v1/users/*/profile")
| rex field=url "\/(?<url_type>\w+)$"
| eval url=replace(url,"\/\d+\/\w+$","")
| stats avg(timeTaken) as avg_latency, p99(timeTaken) as "p99(ms)", perc75(timeTaken) as "p75(ms)", count  as total_requests, count(eval(responseStatus=500)) as failed_requests by url type
| eval "success_rate"=round((total_requests - failed_requests)/total_requests*100,2) 
| eval avg = round(avg) 
| sort success_rate

这会将“类型”（注销、配置文件、设置）提取到新字段中，然后清理 URL删除从 userid 到末尾的所有内容