OpenSearch异常检测器

Question

上下文：

我的数据流(文本)中有四个字段: id、userName、loginDateTime、loginGeoLocation。不应该允许用户从不同的机器(geoLocation)登录，但是他们是从多台机器登录的。数据流来自于许多外部系统&我们没有对它的任何控制，我们在卡夫卡主题上登陆，一个日志存储管道正在从OpenSearch Indice接收并推送到它。

问题陈述:我想识别(警报)一些用户是否从一个完全不同的位置登录，而不是经常登录。例如，用户--来自加利福尼亚州红木的登录--但突然从波士顿登陆，在此行动中，女士发出警报触发器，并发送电子邮件/推送/通知等。我们如何使用管道、日志存储或OpenSearch提供的任何方法来实现这一点，而不是开发或拦截流。

Answer 1

花了很多时间，想出了两种方法，

(https://www.elastic.co/guide/en/machine-learning/7.17/ml-configuring-detector-custom-rules.html)

• Use

• 在输入数据时，从日志中创建异常检测(https://github.com/logstash-plugins/logstash-input-java_input_example)

指纹过滤器，该插件用于使用自定义的书写规则(https://github.com/logstash-plugins/logstash-input-java_input_example)

希望这对有类似问题的人有帮助。