以下の結果を探しています。
スキャナー IP がブロックされていないインド
スキャナなしのインド IP ブロックなし
スキャナー IP がブロックされたインド
スキャナー IP がブロックされていないインドでは、ip1、ip2 => スキャナー IP
私は以下のものを試しました..しかし、それは「スキャナーIPがブロックされていないインド」カウントのみを示しています
| eval BlockedStatus = case ( src !="ip1" OR src !="ip2.*" OR blocked=1,"india without scanner IP blocked", src !="ip1" OR src !="ip2*" OR blocked=0 ,"india without scanner IP nonblocked" ,src ="ip1" OR src ="ip2" OR blocked=1,"india with scanner IP blocked", src ="ip1" OR src ="ip2" OR blocked=0 ," india with scanner Ip non blocked ")
| stats count by eventtype,BlockedStatus
| rename eventtype as "Local Market",count as "Total Critical Events"