Как поставить условный вывод типа arthmemeti c, значение o / p должно быть больше = 30k и меньше = 30k

Question

введите описание изображения heresourcetype = xxxxx "соединение от 17.129.249.164" ИЛИ "соединение от 17.208.230.209" ИЛИ "соединение от 10.41.84.33" ИЛИ "соединение от 10.41.158.214" ИЛИ «соединение от 10.41.88.162« ИЛИ »соединение от 10.41.157.80« ИЛИ »соединение от 10.41.88.198« ИЛИ »соединение от 17.208.225.42« ИЛИ »соединение от 10.41.92.81« ИЛИ »соединение от 10.41.92.237» | rex field = _raw "соединение от (? \ d +. \ d +. \ d +. \ d +):" | интервал корзины = 1d _time | максимальный (значения) счет диаграммы на _time FROM_IP limit = 0

Answer 1

Вы можете использовать команду stats вместо chart. Это даст вам счетный столбец

sourcetype=xxxxx "connection from 17.129.249.164" OR "connection from 17.208.230.209" OR "connection from 10.41.84.33" OR "connection from 10.41.158.214" OR "connection from 10.41.88.162" OR "connection from 10.41.157.80" OR "connection from 10.41.88.198" OR "connection from 17.208.225.42" OR "connection from 10.41.92.81" OR "connection from 10.41.92.237" | rex field=_raw "connection from (?\d+.\d+.\d+.\d+):"| bin span=1d _time | stats count by _time FROM_IP | where count > 30000 AND count < 30000

Answer 2

Вы можете использовать where или search для фильтрации данных к тому, что вам нужно.

sourcetype=xxxxx "connection from 17.129.249.164" OR "connection from 17.208.230.209" OR "connection from 10.41.84.33" OR "connection from 10.41.158.214" OR "connection from 10.41.88.162" OR "connection from 10.41.157.80" OR "connection from 10.41.88.198" OR "connection from 17.208.225.42" OR "connection from 10.41.92.81" OR "connection from 10.41.92.237" | rex field=_raw "connection from (?\d+.\d+.\d+.\d+):"| bin span=1d _time |chart count by _time FROM_IP limit=0 | where count > 30000 AND count < 30000