使用 Splunk 识别相对不寻常的分类事件

Question

我开始使用 Splunk 并试图解决一个问题。我有一个包含数百万日志记录的数据集。用例是识别特定角色的异常事件并突出显示事件和用户。下面的 table 给出了数据的快照。任务是附加最后两列，并为每个角色确定发生的附加事件相对低于同一角色中的其他附加事件。

 user_name  role         event_name     event_type
    A1     Provider     Open Session    Patient
    A1     Provider     Open Session    Patient
    A1     Provider     View Session    Patient
    B1     Provider     Search Session  Admin
    B1     Provider     Search Session  Admin
    B1     Provider     Search Session  Patient
    B1     Provider     Search Session  Admin
    B1     Provider     Open Session    Admin
    C1     Physician    Open Session    Patient
    C1     Physician    Modify Session  Patient
    C1     Physician    Modify Session  Patient
    C2     Physician    Open Session    Patient
    C2     Physician    Open Session    Patient
    C3     Physician    Modify Session  Admin

如果我想为角色 "Provider" 查找异常事件，输出应该是

    user_name    role        appended_event     
        A1     Provider     View Session Patient    
        B1     Provider     Search Session Patient
        B1     Provider     Open Session Admin

同样，如果我想找到角色 "Physician" 的异常事件，输出应该是

    user_name    role        appended_event     
        C3     Physician        Modify Session Admin

我也在寻找一种可视化此类报告的方法。在这方面的任何帮助都会很棒

Answer 1

您可以从这里开始，然后定义您自己的阈值：

| eventstats count as role_event_count by role appended_event
| eventstats count as role_count by role 
| eval pct = role_event_count / role_count * 100

使用 Splunk 识别相对不寻常的分类事件

Using Splunk to identify relatively unusual categorical event

splunk

splunk-query

splunk-calculation