Hello Rainer,<br><br>Thanks for the explanation. Looks like I was right in my feeling that this was missing.<br><br>I understand your rationale to wait for CEE on this, though. I read their spec, and they propose that the identification of a message includes object, action and status. But they haven't defined exactly what these should be, neither do they give any examples.<br>
<br>They still have quite a lot of definition work to to. Hopefully, it won't take too long, a standard for logging is very badly needed, and the longer it takes, the more developers will yet again come up with their own solutions.<br>
<br>I'm currently classifying all kinds of events in Zenoss Core, and realized that when I was defining regexp patterns I could just as well tell it how to extract out the interesting information for analysis and more useful presentation. Which is how I got to this project. <br>
<br>Wladimir<br><br>BTW: great work on rsyslog.<br><br><div class="gmail_quote">On Tue, Mar 22, 2011 at 10:37 AM, Rainer Gerhards <span dir="ltr"><<a href="mailto:rgerhards@hq.adiscon.com">rgerhards@hq.adiscon.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">Hi Wladimir,<br>
<br>
This is a good question and you are abosultely right -- this is currently<br>
missing. In fact, the speace in front of the colon inside the rulebase is<br>
reserved for tags, which is the classification you are looking for.<br>
Liblognorm is in its infancy, though already quite useful in its current<br>
state. I have paused development a bit for two reasons:<br>
<br>
a) CEE needs to sort out some things -- I'd prefer to have some issues solved<br>
before continuing (and re-doing some work).<br>
b) devel prio -- right now I am working hard on getting a new stable v5<br>
rsyslog out, and this is taking quite some toll<br>
<br>
The feature you are asking for is definitely on the today list, and I hope to<br>
be able to work more on liblognorm within the next couple of weeks (this year<br>
has been very busy - and will be - at least until mid-april).<br>
<br>
Rainer<br>
<div><div></div><div class="h5"><br>
> -----Original Message-----<br>
> From: <a href="mailto:lognorm-bounces@lists.adiscon.com">lognorm-bounces@lists.adiscon.com</a> [mailto:<a href="mailto:lognorm-">lognorm-</a><br>
> <a href="mailto:bounces@lists.adiscon.com">bounces@lists.adiscon.com</a>] On Behalf Of Wladimir van der Laan<br>
> Sent: Monday, March 21, 2011 7:00 PM<br>
> To: <a href="mailto:lognorm@lists.adiscon.com">lognorm@lists.adiscon.com</a><br>
> Subject: [Lognorm] Identifying message types<br>
><br>
> Hello,<br>
><br>
> I have a question about the usage of lognorm. As I understand, the<br>
> program extracts data fields from log messages in text format, by means<br>
> of examples from a ruleset file. The output is represented as metadata<br>
> key/value pairs.<br>
><br>
> But as far as I can see, it outputs no identifier as to what kind of<br>
> message the log line represents. For automated log processing, one<br>
> would also need to identify the message, for example, as failed<br>
> authentication, or dhcp request, etc.<br>
><br>
> Am I overlooking something? Is it possible to add a message type field<br>
> in a ruleset?<br>
><br>
> Greetings,<br>
> Wladimir<br>
><br>
<br>
</div></div>_______________________________________________<br>
Lognorm mailing list<br>
<a href="mailto:Lognorm@lists.adiscon.com">Lognorm@lists.adiscon.com</a><br>
<a href="http://lists.adiscon.net/mailman/listinfo/lognorm" target="_blank">http://lists.adiscon.net/mailman/listinfo/lognorm</a><br>
</blockquote></div><br>