我想通过将历史数据(比如上个月的数据)与今天的数据进行比较以发现异常情况,从而在 Splunk 中执行行为分析/异常检测。
我正在分析 FTP 日志,例如,我希望拥有所有用户的历史基线/报告,其中包含 IP/城市和记录时间。异常可以定义为同一用户从不同的 IP 范围/城市和不同的时区登录。命令:异常、异常值、分析字段在 Splunk 中可用,但这些命令通常适用于搜索数据的时间范围,而不是根据我们的需要与用户的历史数据进行比较。
如何在 Splunk 中实现这一点?
问问题
383 次
1 回答
0
您可以通过运行两个搜索然后将它们连接在一起来做到这一点:
- 首先获取当前数据并将其放入一个简单的表中:
search | table username ip city time_zone - 准备第二次搜索并将字段(用户名除外)重命名为不同的名称
second search earliest=-2mon@mon latest=-1mon@mon| table username ip city time_zone | rename ip as old_ip | rename city as old_city ... - 一起加入搜索:
search | join [ | search second_search ] - 现在您可以搜索具有相似新字段和历史字段的用户。
希望它是有帮助的。
于 2014-11-23T20:36:18.100 回答