我有一个将单个事件发送到splunk中的脚本,每个事件本质上都是关于HTTP请求的报告,无论是获取还是发布。该事件包含许多字段,但两个关键的字段是stepname和时间安排:
- stepname将是httprequest等的标题。PostLogin
- 时机将是httprequest取的毫秒的int值
我正在写一份报告,该报告显示了过去15分钟内每个步骤的平均时间。但是,从最终用户的角度来看,某些步骤是一个过程的一部分,例如
- step1- getloginpage
- step2 -Postloginpage
- step3- processuserdetails
- step4- gethomepage
在这种情况下,step2和step3对于最终用户来说将是一个过程,因此,我希望能够报告这些过程,就好像它们是一个步骤一样:
getLoginpage 50
后锁定100
ProcessuserDetails 250
Gethomepage 80
将成为
getLoginpage 50
后锁定350
Gethomepage 80
我可以在Stepname上使用替换,所以我有
getLoginpage 50
后锁定100
后延loginpage 250
Gethomepage 80
然后我如何合并这些结果,以便总结两个后插图步骤,然后在三个单独的步骤中给我平均值?
注意每个步骤都有一个称为TransActionGuid的字段,该字段将同一执行的一组步骤关联。
如果您在http://splunk-base.splunk.com/answers/上发布问题,您将可以访问更多的Splunk专业知识,我将尝试尝试在那里回答您的问题。