= Сообщение: 3823 из 8555 ========================================= RU.LINUX = От : Maxim Romanenkov 2:5020/570.35 03 Feb 17 14:16:38 Кому : Eric Pozharski 03 Feb 17 14:16:38 Тема : помогите с SQL-запросом FGHI : area://RU.LINUX?msgid=2:5020/570.35+58946a8f На : area://RU.LINUX?msgid=2:463/94.101+ee008ca7 = Кодировка сообщения определена как: CP866 ================================== Ответ: area://RU.LINUX?msgid=2:463/94.101+b7f5e434 ============================================================================== Привет, Eric!
03 фев 17 10:04, Eric Pozharski -> Maxim Romanenkov:
EP> Я может быть по прежнему не понимаю ТЗ, но как я понял:
EP> [a] адреса которые не сканировали ничего
Такие в базе отсутствуют. Если в базу попал адрес, значит он коннектился к какому-то маршрутизатору по запрещенному дефолтным правилом порту, роутер сделал запись в журнал, отправил это на мой центральный syslog, там он отпарсился и записался в базу.
EP> [b] адреса которые сканировали только 23 EP> [d] адреса которые скнировали 23 и какой-то другой
Вот эти два множества мне надо разделить
EP> Если мне удалось показать свое видение, то видно что эти подмножества EP> не пересекаются.
А помоему [b] входит в [d], хотя я в множествах не силен. Просто я задумался, о том, что по прошествии какого-то времени адрес может начать сканировать и другие порты - не бывает же "вечных" сетевых устройств? А значит адрес могут переназначить на другой девайс с другими глюками.
EP> select ad from swedro EP> where ad not in EP> ( select distinct ad from swedro EP> where not pt = 23 )
Про "distinct" меня конечно снова поругает коллега базюшник, но в целом сегодня от него получил подобный совет. Hадо попробовать сделать INNER JOIN выборки адресов сканировавших 23-й порт и еще одной выборки тех кто сканил все кроме 23-го порта - как-то так. А вот как именно, пока не понял.
С наилучшими пожеланиями, Maxim.
--- -Natural gas is hemispheric. * Origin: We're concerned about AIDS in our White House... (2:5020/570.35)
