我从Splunk开始,试图解决一个问题。我有一个包含数百万条日志记录的数据集。用例用于识别特定角色不寻常的事件,并突出显示事件和用户。下表给出了数据的快照。任务是附加最后两列,对于每个角色,确定发生的附加事件相对低于同一角色中的其他附加事件。
user_name role event_name event_type
A1 Provider Open Session Patient
A1 Provider Open Session Patient
A1 Provider View Session Patient
B1 Provider Search Session Admin
B1 Provider Search Session Admin
B1 Provider Search Session Patient
B1 Provider Search Session Admin
B1 Provider Open Session Admin
C1 Physician Open Session Patient
C1 Physician Modify Session Patient
C1 Physician Modify Session Patient
C2 Physician Open Session Patient
C2 Physician Open Session Patient
C3 Physician Modify Session Admin
如果要查找角色“提供者”的异常事件,则输出应为
user_name role appended_event
A1 Provider View Session Patient
B1 Provider Search Session Patient
B1 Provider Open Session Admin
类似地,如果我想为角色“医生”找到异常事件,那么输出应该是
user_name role appended_event
C3 Physician Modify Session Admin
我也在寻找一种方法来可视化这样一份报告。
这方面的任何帮助都会很好
