La información de los eventos en las tablas de los eventos: ops, sockets, etc no se modifica en ningún momento para permitir un análisis de la situación en el momento en el que se produjo dicho evento, sin embargo, si desde que se produjo el evento hasta el momento actual, se ha producido un cambio en la clasificación del fichero o ficheros de ese evento, esos cambios podrán ser consultados a través de la función categoría como se explica más abajo.
Así, por ejemplo, en las tablas como Ops o Sockets, podemos encontrarnos ficheros (ficheros del proceso padre y ficheros del proceso hijo) con valor monitorización en el campo categoría (cat). Sabremos el valor actualizado de la clasificación de ese fichero usando la función categoría.
Para ello debemos crear un campo cuyo valor sea el resultado de buscar en esa tabla en hash del fichero con categoría inicial igual a monitorización.
- Creamos un nuevo campo por ejemplo con nombre UpdatedCat que sea el resultado de buscar un hash, por ejemplo, childhash) en la tabla categorías.
- Buscamos el nuevo valor para aquellos hashes cuya categoría inicial era monitorización, filtrando en el ejemplo por aquellos registros con childCat igual a monitorización.
- Podemos analizar los nuevos valores de la categoría de este hash, filtrando o agrupando por el nuevo campo UpdatedCat.
Si el valor devuelto por esta función es null, significa que no ha existido un cambio en la clasificación.