在Splunk中发现异常的行为分析

Question

我想在Splunk中执行行为分析/异常检测，通过比较历史数据(比如上个月的数据)和今天的数据来发现异常。

我正在分析FTP日志，因此，例如，我想要具有I/城市和登录时间的所有用户的历史基线/报告。异常可以定义为同一用户从不同的IP范围/城市和不同的时区登录。命令:异常、异常值、分析字段在Splunk中可用，但这些命令通常在搜索数据的时间范围内工作，而不是像我们希望的那样与用户的历史数据进行比较。

我如何在Splunk中实现这一点？

Answer 1

您可以通过运行两个搜索，然后将它们连接在一起来完成此操作：

用户名首先获取当前数据并将其放入一个简单的表中：search | table username ip city time_zone

• Prepare第二次搜索并重命名字段(除了

• )，使其具有不同的名称，并将搜索放在一起：search | join [ | search second_search ]

• Now

1. 您可以搜索具有相似新字段和历史字段的用户。

希望对您有所帮助。