Я собираю показатели производительности для каждого API, который у нас есть. С помощью следующего запроса я получаю результаты как
метод response_time
Создание биллинга 2343.2323
index="dev-uw2" logger_name="*Aspect*" message="*ApiImpl*" | rex field=message "PerformanceMetrics - method='(?<method>.*)' execution_time=(?<response_time>.*)" | table method, response_time | replace "public com.xyz.services.billingservice.model.Billing com.xyz.services.billingservice.api.BillingApiImpl.createBilling(java.lang.String)” WITH "Create Billing” IN method
Если пользователь щелкает каждый текст api в ячейке таблицы для дальнейшей детализации, он откроет новый поиск с «Create Billing», очевидно, он даст нулевые результаты, поскольку у нас нет журнала с этой строкой.
Я хочу, чтобы splunk выполнял поиск по оригинальному тексту, который был заменен ранее.
