Skip to main content

Benutzerhandbuch

Suche nach kurzen Events

Die minimale Dauer eines Events für die wertbasierte Suche entspricht dem Zweifachen der Indexauflösung aufgrund der Tag-Indizierung und der Suchmechanismen. Diese Grenze kann manchmal blockierend wirken, da wir in der Regel alle Events finden möchten, bei denen bestimmte Bedingungen erfüllt sind, unabhängig von ihrer Dauer.

Für einfache Fälle, in denen wir (kurze) Events finden müssen, bei denen unser Tag eine bestimmte Grenze überschreitet, können wir dieses Problem durch die folgenden Schritte lösen:

  1. Schaffen Sie ein Maximum Aggregation des ursprünglichen Tags mit einem zentralen Aggregationsfenster, das dem Zweifachen der Indexauflösung entspricht. Auf diese Weise wird ein Tag erstellt, der einen Spike von mindestens der zweifachen Indexauflösung erzeugt, auch wenn das ursprüngliche Event nur sehr kurz war.

    short_spike_workaround.png

  2. Event Search

    Führen Sie eine wertebasierte Suche nach dem neuen Aggregations-Tag durch, das über dem Schwellenwert liegt. Bei Verwendung der standardmäßigen Mindestdauer von zwei Mal der Indexauflösung sollten nun alle Fälle gefunden werden, in denen das ursprüngliche Tag den Schwellenwert überschritten hat, egal wie kurz es war.

Anmerkung

Wir können dasselbe Verfahren verwenden, wenn wir nach Events suchen, bei denen unser Tag unter einer bestimmten Grenze liegt. In diesem Fall müssen wir einfach die minimale Aggregation verwenden

Tipp

Wenn unsere Suchkriterien komplizierter sind und wir prüfen müssen, ob Bedingungen auf mehrere Tags gleichzeitig zutreffen, können wir nicht einfach eine Aggregation pro Tag erstellen und dann die Bedingungen in der Suche kombinieren. Schließlich könnten die Bedingungen nicht genau zum gleichen Zeitpunkt erfüllt sein.

In einem solchen Fall müssen wir zunächst ein binäres-Tag erstellen, das anzeigt, wann alle Bedingungen erfüllt sind. Dieser Tag wird nur für die Events, die wir identifizieren möchten, den Wert 1 haben. Auf dieser Formel können wir dann ein Tag für die maximale Aggregation erstellen. Die Suche nach diesem Tag mit dem Wert 1 ergibt alle Events, bei denen unsere Bedingungen erfüllt waren.

Warnung

Ein Nachteil des obigen Ansatzes ist, dass wir mehrere Ereignisse, die nahe beieinander liegen, nicht erkennen können. Wenn der Abstand zwischen den Ereignissen mehr als das Zweifache der Indexauflösung beträgt, werden sie durch die Aggregation miteinander verschmolzen und unsere Suche liefert nur ein einziges, längeres Ergebnis.

In diesem Abschnitt: