Az elasticsearch mögött lucene van. Ez (többek között) tud egy olyat amit "term frequency–inverse document frequency" néven szoktak emlegetni:
https://en.wikipedia.org/wiki/Tf%E2%80%93idf
https://findwise.com/blog/under-the-hood-of-the-search-engine/
https://www.elastic.co/blog/significant-terms-aggregation
Ez az algoritmus (megfelelő adatmodellel/adatokkal) jól használható mindenféle anomália keresésre, pl. bankkártya csalások szűrésére, vagy olyanok kiszűrésére, hogy "Ez a gép általában 20% procit használ, de most ez felment 50-re. Az 50 még mindig határon belül van (tehát nem jön riasztás), de inkább ránézek, mert valszeg gebasz van."
a "Syslog-ng: pdbtool patternize"-ról nem tudok nyilatkozni, de valszeg az is hasonló módon működik.