0

異常を見つけるために、履歴 (先月のデータなど) と今日のデータを比較して、Splunk で行動分析/異常検出を実行したいと考えています。

私は FTP ログを分析しているので、たとえば、すべてのユーザーの履歴ベースライン/レポートがあり、IP/都市とログ時間を記録したいと考えています。異常は、同じユーザーが異なる IP 範囲/都市および異なるタイム ゾーンからログインしたかのように定義できます。コマンド: anomalies、anomalousvalue、analyzefields は Splunk で利用できますが、これらのコマンドは通常、検索されたデータの時間範囲で機能し、ユーザーの履歴データとは比較しません。

Splunk でこれを実現するにはどうすればよいですか?

4

1 に答える 1

0

2 つの検索を実行してから、それらを結合することでそれを行うことができます。

  1. 現在のデータを取得し、単純なテーブルに配置することから始めます。search | table username ip city time_zone
  2. 2 回目の検索を準備し、フィールド (ユーザー名を除く) の名前を別の名前に変更します。second search earliest=-2mon@mon latest=-1mon@mon| table username ip city time_zone | rename ip as old_ip | rename city as old_city ...
  3. 検索を結合します。search | join [ | search second_search ]
  4. これで、同様の新しいフィールドと過去のフィールドを持つユーザーを検索できるようになりました。

お役に立てば幸いです。

于 2014-11-23T20:36:18.100 に答える