我需要计算有多少个不同的 MAC 地址访问过我的 IIS 网络服务器并且状态值为 1。
“MAC”地址和“状态”值在实际查询(cs-uri-query)中
因此日志看起来像这样(仅显示 cs-uri-query 字段):
mac=00-20-c2-41-7e-b6&state=1&div=10
mac=00-20-c2-41-7e-b6&state=1&div=10
mac=00-20-c2-41-7e-b6&state=0&div=10
mac=00-10-c3-41-7e-b7&state=1&div=10
在这种情况下,LogAnalyzer 应该 count=2。2 次访问了不同的 MAC,状态为 1。
有人可以帮我使用 LogAnalyzer 的 SLQ 吗?
答案1
尝试一下:
select count(distinct extract_value(cs-uri-query, 'mac'))
from *.log
where extract_value(cs-uri-query, 'state') = '1'
您可能需要根据日志格式调整字段名称。