使用 Splunk 识别相对不寻常的分类事件
Using Splunk to identify relatively unusual categorical event
我开始使用 Splunk 并试图解决一个问题。我有一个包含数百万日志记录的数据集。用例是识别特定角色的异常事件并突出显示事件和用户。下面的 table 给出了数据的快照。任务是附加最后两列,并为每个角色确定发生的附加事件相对低于同一角色中的其他附加事件。
user_name role event_name event_type
A1 Provider Open Session Patient
A1 Provider Open Session Patient
A1 Provider View Session Patient
B1 Provider Search Session Admin
B1 Provider Search Session Admin
B1 Provider Search Session Patient
B1 Provider Search Session Admin
B1 Provider Open Session Admin
C1 Physician Open Session Patient
C1 Physician Modify Session Patient
C1 Physician Modify Session Patient
C2 Physician Open Session Patient
C2 Physician Open Session Patient
C3 Physician Modify Session Admin
如果我想为角色 "Provider" 查找异常事件,输出应该是
user_name role appended_event
A1 Provider View Session Patient
B1 Provider Search Session Patient
B1 Provider Open Session Admin
同样,如果我想找到角色 "Physician" 的异常事件,输出应该是
user_name role appended_event
C3 Physician Modify Session Admin
我也在寻找一种可视化此类报告的方法。
在这方面的任何帮助都会很棒
您可以从这里开始,然后定义您自己的阈值:
| eventstats count as role_event_count by role appended_event
| eventstats count as role_count by role
| eval pct = role_event_count / role_count * 100
我开始使用 Splunk 并试图解决一个问题。我有一个包含数百万日志记录的数据集。用例是识别特定角色的异常事件并突出显示事件和用户。下面的 table 给出了数据的快照。任务是附加最后两列,并为每个角色确定发生的附加事件相对低于同一角色中的其他附加事件。
user_name role event_name event_type
A1 Provider Open Session Patient
A1 Provider Open Session Patient
A1 Provider View Session Patient
B1 Provider Search Session Admin
B1 Provider Search Session Admin
B1 Provider Search Session Patient
B1 Provider Search Session Admin
B1 Provider Open Session Admin
C1 Physician Open Session Patient
C1 Physician Modify Session Patient
C1 Physician Modify Session Patient
C2 Physician Open Session Patient
C2 Physician Open Session Patient
C3 Physician Modify Session Admin
如果我想为角色 "Provider" 查找异常事件,输出应该是
user_name role appended_event
A1 Provider View Session Patient
B1 Provider Search Session Patient
B1 Provider Open Session Admin
同样,如果我想找到角色 "Physician" 的异常事件,输出应该是
user_name role appended_event
C3 Physician Modify Session Admin
我也在寻找一种可视化此类报告的方法。 在这方面的任何帮助都会很棒
您可以从这里开始,然后定义您自己的阈值:
| eventstats count as role_event_count by role appended_event
| eventstats count as role_count by role
| eval pct = role_event_count / role_count * 100