Я хочу выполнить поведенческий анализ/обнаружение аномалий в Splunk, сравнив исторические данные (скажем, данные за последние месяцы) с сегодняшними данными, чтобы найти аномалии.
Я анализирую журналы FTP, поэтому, например, я хочу иметь исторический базовый уровень/отчет обо всех пользователях с их IP-адресами/городом и временем регистрации. Аномалии могут быть определены так, как будто один и тот же пользователь входит в систему из разных диапазонов IP-адресов/городов и из разных часовых поясов. Команды: аномалии, аномальное значение, анализ поля доступны в Splunk, но эти команды обычно работают с временным диапазоном искомых данных и не сравниваются с историческими данными для пользователя, как мы этого хотим.
Как я могу добиться этого в Splunk?