问如何使用SQL测试5分钟间隔，在AWS雅典娜中给定Windows事件管理器事件时间戳

EN

我使用AWS中的Athena和Windows事件管理器日志来构造一些安全事件查询。其中之一是，我想在5分钟内查询报告3次或3次以上失败登录尝试的机器。

时间戳列的格式如下：2019-03-25T19:18:10.7954381Z

我已经用特定的事件id：SELECT machinename, COUNT(eventid) FROM windows WHERE eventid = 4625 GROUP BY machinename HAVING COUNT(eventid = 4625) >= 3;完成了查找机器。

它只是为任何时间戳返回所有事件It大于或等于3的机器。

我的问题是:如何在SQL中实现逻辑，以检查该特定事件I是否在5分钟的时间范围内发生，而不是只显示所有时间？

这是我对SQL的第一次尝试；任何帮助都是非常感谢的。谢谢!

编辑:西奥有解决方案。在此张贴：

SELECT FROM_UNIXTIME( FLOOR( TO_UNIXTIME( DATE_PARSE(substr(timecreated, 1, 16), '%Y-%m-%dT%H:%i') )/300 ) * 300 ) AS five_minute_window, machine-name, COUNT(event-id) AS event_count FROM table WHERE event-id = 4625 GROUP BY 1, machine-name HAVING COUNT(event-id = 4625) >= 3;

我不得不刮掉小数秒，因为有一些不正常的时间戳没有格式化(只有整秒钟)。