[mysql] query per raggruppare record in intervalli temporali

[nik600]

Ciao

ho una tabella che mi registra tutte le operazioni fatte su una mia applicazione web.

Vorrei fare degli script di intrusion detection, per identificare determinati tentativi di accesso non autorizzato.

Ad esempio, la mia tabella è fatta cosi:
data|ip|session_id|modulo|operazione

e un ipotetico record

---- | x.x.x.x | d"£RWErwerWErwe | utenti | login

per identificare un attacco bruteforce, potrei fare una query che raggruppa i record con modulo=utenti e operazione=login per minuto, e mostrarmi i raggruppamenti maggiori di 20 (ad esempio)

Il problema è questa tabella contiene diverse centinaia di migliaia di record, (anzi, siamo quasi al milione) e quindi dovrei evitare query ricorsive...altrimenti ammazzo mysql.

Voi cosa mi consigliate?

[nik600]

ho fatto questa query:

codice:

 SELECT `ip` , count( id ) AS tentativi, DATE_FORMAT(
DATA , '%Y-%m-%d %H:%i' ) AS periodo
FROM segnalazioni
WHERE modulo = 'utenti'
AND operazione_POST = 'login'
AND tentativi >10
GROUP BY periodo
LIMIT 0 , 30

ma mi dice che tentativi non esiste...

[piero.mac]

e te credo che non esiste.

I nomi di campo sono risolti dopo le condizioni espresse in where e quindi al momento di risolvere il where questi alias non esistono ancora.

metti la condizione in HAVING

codice:

....

WHERE modulo = 'utenti'
AND operazione_POST = 'login'
GROUP BY periodo
HAVING tentativi >10

[nik600]

immaginavo fosse una cosa simile... non ero a conoscenza dell'HAVING!

grazie! ;-)