Не существует обработчика запросов, специфичного для ruby, для журналов, сгенерированных ruby.Конечно, можно создать один из них:
- Определение способа получения полей из сгенерированных в стиле ruby журналов (как указано выше)
- Определение способа перевода желаемого синтаксиса в язык поиска splunk, что было бы, вероятно, для этого запроса "sign_up referer = bla"
Splunk можно расширять различными способами.Например, было бы вполне возможно создать поисковый фильтр, который может сузить набор событий в ruby, анализируя выражение ruby.У поискового языка Spunk есть свои представления о кавычках, обратных косых чертах и каналах, но остальная часть текста будет до фильтра.Тем не менее, основные оптимизации производительности, связанные с ограничением поиска событиями, содержащими подстроки, в настоящее время возможны только в синтаксисе языка поиска Spunk.
При этом, если ваш набор данных очень мал, а анализ, который вы хотите сделать, ограниченпо объему, то, возможно, какое-то нестандартное решение ruby будет ближе к тому, что вы хотите.