Где найти документацию по анализу поведения пользователей из логов?
Подскажите статьи для изучения темы по анализу логов Nginx или Apache для выявления ненормального поведения клиентов. Для выявления роботов/парсеров/скрипткидди
Хочется взять готовое решение для анализа или почитать методы определения , для реализации такой программы.
Денис Ильиных: Дело в том, что известный мне класс систем обнаружения проникновений (IDS) и аномалий работает с бОльшим пластом данных. Как минимум плюс счётчики производительности, датчики нагрузки и прочая.
Для анализа поведения пользователей нужно собирать статистику действий этих пользователей. Пример: пользователь зарегистрировался и сделал оплату. С логов веб сервера вы такую стату не снимите. Есть более умные трекеры, типа piwik. Для сложных кейсов - логгирование делается вручную.
Расставить метрики не проблема. Но задача пока не так глубоко. по логам тоже можно вычислить аномальное поведение, например вход без рефа, работа с сайтом без js, получение страниц напрямую без истории и точки входа. Вот и хотелось бы почитать про факторы и методы такого анализа. Не углубляясь в метрики.
Задача поставлена некорректно. Попробуйте переформулировать из "я хочу найти что-то странное в логах" в "я хочу находить в логах такие-то конкретные аномалии".
А вообще на тему anomaly detection очень много статей, выбирайте под задачу.