我想写的查询应满足以下2个条件:
如果在500个不同的端口上,相同的源和同一目的地之间的60秒内有超过500个事件,则应触发警报。
相同的警报(对于相同的源和相同的目的地)不应该在接下来的60分钟内触发,但是应该触发另一对源和目的地,它们在60秒内在500个不同的端口上发生事件。
< / LI>我的查询:
SELECT* from ()
.std:groupwin(ip_src, ip_dst).std:unique(ip_dstport).win:time_length_batch(60 seconds, 500) GROUP BY ip_src, ip_dst HAVING count(ip_dstport) = 500
或
SELECT* from ()
.std:groupwin(ip_src,ip_dst).std:unique(ip_dstport).win:time_batch(3600 seconds) GROUP BY ip_src, ip_dst HAVING count(ip_dstport) = 500
上述陈述均未提供所需的输出。