<div dir="ltr">Hi,<div><br></div><div>The result of 'count(c.ip_dst)' and 'count(distinct c.ip_dst)' ) are not same.<br></div><div>Which result do you want?</div><div>And i think the realtime condition is not good condition for statistics.<br></div><div>I think need to scale down time scope.</div><div>Have a nice day~</div><div><br></div><div><div>select date(a.timestamp), inet_ntoa(c.ip_src), count(distinct c.ip_dst), count(distinct b.sig_name), count(a.signature)</div><div>from event a, signature b, iphdr c</div><div>where a.signature = b.sig_id </div><div>and a.sid = c.sid and a.cid = c.cid </div><div>and date_format(a.timestamp, '%Y-%m') = '2016-01'</div><div>group by date(a.timestamp), inet_ntoa(c.ip_src)</div><div><br></div><div>select date_format(a.timestamp, '%H:%i'), inet_ntoa(c.ip_src), count(distinct c.ip_dst), count(distinct b.sig_name), count(a.signature)</div><div>from event a, signature b, iphdr c</div><div>where a.signature = b.sig_id </div><div>and a.sid = c.sid and a.cid = c.cid </div><div>and date(a.timestamp) = '2016-01-07'</div><div>group by date_format(a.timestamp, '%H:%i'), inet_ntoa(c.ip_src)</div></div><div><br></div><div>Best Regards</div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-03-15 8:06 GMT+09:00 adonis okpidi <span dir="ltr"><<a href="mailto:adonisokpidi@...2420..." target="_blank">adonisokpidi@...2420...</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Hi,<br><br></div>I am attempting to write a query that would return all distinct source ip and count the number of unique values of the columns shown in the query below. Here is an example of the output I want<br><br><br># Sensor, Date_Time, SrcIP, SPort, DstIP, DPort, Protocol, Signature_name, Signature_class_name, num of occurence<br><br>'2', '2003-09-04 19:54:27', '192.168.0.1', '80', '24', '25', '17', '4', '5', '24'<br><br><div><div>I used Barnyard2 to read the snort.log file into MySQL database <br><br>select count(f.hostname) as Sensor, a.timestamp as Date_Time, inet_ntoa(d.ip_src) as SrcIP, count(c.tcp_sport) as SPort, count(inet_ntoa(d.ip_dst)) as DstIP, count(c.tcp_dport) as DPort, count(d.ip_proto) as Protocol, count(b.sig_name) as Signature_name, count(e.sig_class_name) as Signature_class_name, count(a.signature) as num<br>from event a, signature b, tcphdr c, iphdr d, sig_class e, sensor f <br>where a.signature = b.sig_id <br>and a.sid = c.sid and a.cid = c.cid <br>and a.sid = d.sid and a.cid = d.cid <br>and a.signature = b.sig_id <br>and b.sig_class_id = e.sig_class_id <br>and a.sid = f.sid <br>group by inet_ntoa(d.ip_src), inet_ntoa(d.ip_src), c.tcp_dport<br>union<br>select count(f.hostname) as Sensor, a.timestamp as Date_Time, inet_ntoa(d.ip_src) as SrcIP, count(c.udp_sport) as SPort, count(inet_ntoa(d.ip_dst)) as DstIP, count(c.udp_dport) as DPort, count(d.ip_proto) as Protocol, count(b.sig_name) as Signature_name, count(e.sig_class_name) as Signature_class_name, count(a.signature) as num<br>from event a, signature b, udphdr c, iphdr d, sig_class e, sensor f <br>where a.signature = b.sig_id <br>and a.sid = c.sid and a.cid = c.cid <br>and a.sid = d.sid and a.cid = d.cid <br>and a.signature = b.sig_id <br>and b.sig_class_id = e.sig_class_id <br>and a.sid = f.sid <br>group by inet_ntoa(d.ip_src), c.udp_sport, udp_dport<br>order by Date_Time desc;<br><br></div><div>Best Regards, <br></div><div>Adonis Okpidi<br></div></div></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">-----------------------</div><div dir="ltr">Kang Myoung-hun</div><div dir="ltr">-----------------------<br>+82-10 6604 6084<br></div><div dir="ltr"><a href="http://kangmyounghun.blogspot.kr/" target="_blank">kangmyounghun.blogspot.kr</a><br></div><div dir="ltr"><a href="http://kr.linkedin.com/pub/myounghun-kang/74/238/93a" target="_blank">kr.linkedin.com/pub/myounghun-kang/74/238/93a</a><br></div></div></div></div></div></div></div>
</div>