Запрос Splunk - шаблон идентификации из значения json и присвоение ему имени

Question

{
  "message": {
    "correlation": "12345678",
    "headers": {},
    "protocol": "HTTP/1.1",
    "remote": "111.11.11.111",
    "requestMethod": "GET",
    "requestPath": "/abc/<dynamic_value>/xyz",
    "type": "request"
  }
}

Из "message.requestMethod" и "message.requestPath" мне нужно найти уникальные комбинации и дать ей какое-то имя.

Попробовал что-то вроде ниже, что не работает: searchquery | eval api = case (message.requestMethod = GET AND message.requestPath="/abc/<dynamic_value>/xyz", "GET_VERSION_API", message.requestMethod = POST AND message.requestPath="/abc/<dynamic_value>/xyz", "POST_VERSION_API", 1 = 1, "default") | stats count by api