最近の送信ホスト - ポート接続
Sophos Linux Sensor の接続イベントのクエリを実行することで、最近の送信トラフィックを表示できます。クエリは、過去 24時間に検出された最近の送信ホストとポートの組み合わせを返します。
必要なテーブル
- connections
戻りフィールド
| フィールド | 説明 |
|---|---|
| hostport | アクセスされた [ホスト]:[ポート] |
| occurrences | 回数 |
| dt | 平均アクセス日時 |
クエリ
SELECT
CONCAT(dst_addr, ':', cast(dst_port AS varchar)) AS hostport,
COUNT(1) as occurrences,
FROM_UNIXTIME(AVG(unix_nano_timestamp)/1e9) as dt
FROM connections b
WHERE
(SELECT COUNT(1)
FROM connections a
WHERE a.dst_addr = b.dst_addr
AND a.dst_port = b.dst_port
AND a.unix_nano_timestamp < TO_UNIXTIME(NOW()) * 1e9 - 60*60*24*1e9) = 0
GROUP BY dst_addr, dst_port