Sto cercando di mettere insieme un modo per capire se gli incidenti si sono verificati in base al contenuto del registro. In genere, su log (o tabella DB) conterrebbe un elenco di transazioni composto come segue: {Timestamp} {TransactionID} {Message}
Come esempio di problema che ho incontrato, l'ho usato per rilevare se si sono verificati "incidenti" eseguendo alcune query molto semplici come:
SELECT Timestamp, count(*)
FROM table
GROUP BY Timestamp
HAVING COUNT(*) > 5
ORDER BY Timestamp
Funziona OK ma ha avvertimenti molto forti:
- Nei momenti di alta attività restituirà i record per niente (e alzando la barra si nasconderanno le righe che dovrebbero essere restituite)
- Diciamo che ho 4 eventi al timestamp t e 2 eventi al timestamp (t + 1), la mia query non restituirà nulla anche se dovrebbero essere considerati. Sfortunatamente, aggregando i timestamp per intervalli di tempo, mi porterò al punto precedente sull'elevato tempo di attività.
Qualcuno potrebbe avere alcune informazioni su come affrontare il problema più ampio del rilevamento degli incidenti nei registri?