我有一个flinkCEP的程序,检测nginx日志,假如同一ip,60s内超过3次访问,则报警。 我访问了7次,代号为1~7 检测到了4组报警分别是 [/1, /2, /3] [/2, /3, /4] [/3, /4, /5] [/4, /5, /6]
请问下,如果想之前已经参与过匹配的数据不再参与匹配,应该怎样做,比如其实我想得到两组报警:
[/1, /2, /3]
[/4, /5, /6]
如下是我检测的关键代码:
Pattern<NginxLogFormatDefault, NginxLogFormatDefault> pattern =
Pattern.<NginxLogFormatDefault>begin("start").times(3).within(Time.seconds(60));
--
Sent from: http://apache-flink.147419.n8.nabble.com/
