我想通过比较历史数据(比如上个月的数据)和今天的数据,在Splunk中进行行为分析/异常检测,以发现异常情况。
我正在分析FTP日志,所以我希望拥有所有用户的历史基线/报告,其中包含IP /城市和记录时间。 可以将异常定义为来自不同IP范围/城市和不同时区的相同用户登录。 命令:异常,异常值,分析字段在Splunk中是可用的,但这些命令通常适用于搜索数据的时间范围,而不能与用户的历史数据进行比较。
如何在Splunk中实现这一目标?
答案 0 :(得分:0)
您可以通过运行两个搜索然后将它们连接在一起来实现:
search | table username ip city time_zone second search earliest=-2mon@mon latest=-1mon@mon| table username ip city time_zone | rename ip as old_ip | rename city as old_city ... search | join [ | search second_search ] 希望它有用。