вложенное условие в splunk

Я ищу результат ниже.

Индия без сканера IP заблокирован
Индия без сканера IP неблокирована
Индия со сканером IP заблокирован
в Индии со сканером Ip не заблокирован, где ip1, ip2 = ›IP сканера

Я пробовал следующий ... но он показывает только Индию без количества заблокированных IP-адресов сканера

| eval BlockedStatus = case ( src !="ip1" OR src !="ip2.*" OR blocked=1,"india without scanner IP blocked", src !="ip1" OR src !="ip2*" OR  blocked=0 ,"india without scanner IP nonblocked" ,src ="ip1" OR src ="ip2" OR blocked=1,"india with scanner IP blocked", src ="ip1" OR src ="ip2" OR blocked=0 ," india with scanner Ip non blocked ")
| stats count by eventtype,BlockedStatus 
| rename eventtype as "Local Market",count as "Total Critical Events"

supriya 12.01.2021 источник

Ответы (1)

arrow_upward
1
arrow_downward

Логика в операторе case неверна. Почти все будет соответствовать src!=ip1 OR src!=ip2 OR blocked=1. Я думаю, что некоторые из ORs должны быть ANDs и что некоторые скобки необходимы.

Может это ближе к задумке?

eval BlockedStatus = case ( src !="ip1" AND src !="ip2" AND 
  blocked=1,"india without scanner IP blocked", src !="ip1" AND src !="ip2" AND 
  blocked=0 ,"india without scanner IP nonblocked" ,(src ="ip1" OR src ="ip2")
  AND blocked=1,"india with scanner IP blocked", (src ="ip1" OR src ="ip2") AND
  blocked=0 ," india with scanner Ip non blocked ", 1==1, "Error")
| stats count by eventtype,BlockedStatus 
| rename eventtype as "Local Market",count as "Total Critical Events"

RichG 12.01.2021

comment

как обычно, спасибо @RichG за быстрый ответ .. - supriya; 12.01.2021

comment

попробовали то же самое, но снова он дает только Индию без счетчика заблокированных IP-адресов сканера - supriya; 12.01.2021

comment

даже я пробовал и ниже .. - supriya; 12.01.2021

comment

Пожалуйста, поделитесь некоторыми примерами событий. - RichG; 12.01.2021

comment

stackoverflow .com / questions / 65703855 / - supriya; 13.01.2021

вложенное условие в splunk

Ответы (1)

Вопросы по теме