
<p dir="ltr">I think module-loading call having a flag to turn on/off would be better than build-time flag, purely because it allows one to build a package and use it on several boxes, while keeping the feature off when not required. A more fine grained control, in that sense.</p>

<p dir="ltr">We can support both levels of enabling, but then a lot of people may be confused as to why it doesn't work when they turned it on while building.</p>

<p dir="ltr">2 levels also seems a little over-protective to me. Kinda like Windows "do you really want to delete this file" prompts.</p>

<p dir="ltr">Does module-loading time flag sound ok?</p>

<p dir="ltr">--<br>

Regards,<br>

Janmejay</p>

<p dir="ltr">PS: Please blame the typos in this mail on my phone's uncivilized soft keyboard sporting it's not-so-smart-assist technology.<br>

    </p>

<div class="gmail_quote">On Nov 3, 2014 10:52 PM, "singh.janmejay" <<a href="mailto:singh.janmejay@gmail.com">singh.janmejay@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Hex was just an example. I meant when someone needs to roll out something very quickly, and it's not supported in the build they have, it's useful to be able to do it using regex in rulebase but still completely working in terms of rules, rather than having to resort to a mix of rules and exec-template calls with regexp based property extractors etc.</p>

<p dir="ltr">It's still the same amount of work, if someone is trying to do something unsupported by lognorm. So performance effects will still show, just not in lognorm. </p>

<p dir="ltr">This allows for flexibility and clean way of parsing logs at possibly even slightly lesser cost then the former approach. </p>

<p dir="ltr">We can support a switch-on flag in conf file(module loading call, may be) which can be used to enable performance sensitive features.</p>

<p dir="ltr">I personally think warning in logs would be enough though.</p>

<p dir="ltr">--<br>

Regards,<br>

Janmejay</p>

<p dir="ltr">PS: Please blame the typos in this mail on my phone's uncivilized soft keyboard sporting it's not-so-smart-assist technology.<br>

    </p>

<div class="gmail_quote">On Nov 3, 2014 9:22 PM, "Champ Clark III" <<a href="mailto:cclark@quadrantsec.com" target="_blank">cclark@quadrantsec.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

  
  <div bgcolor="#FFFFFF" text="#000000">

    <br>

    -----BEGIN PGP SIGNED MESSAGE-----<br>

    Hash: SHA1<br>

    <br>

    I think David means something like:<br>

    <br>

    ./configure --enable-preformance-pigs<br>

    <br>

    I'm not a huge fan of this for a couple of reasons.<br>

    <br>

    In your example,  you want to find hex values.  I'd rather see a

    lognorm "parser" created for this purpose.   I'm afraid if we start

    with regular expressions,  we'll end up mixing rules (RE and non-RE)

    and it will make things very confusing.  I really like the way

    lognorm's "masking" works.   I'd rather not see that break.<br>

    <br>

    <br>

    <br>

    On 11/03/2014 07:15 AM, singh.janmejay wrote:<br>

    <span style="white-space:pre-wrap">><br>

      > We log a warning?<br>

      ><br>

      > --<br>

      > Regards,<br>

      > Janmejay<br>

      ><br>

      > PS: Please blame the typos in this mail on my phone's

      uncivilized soft keyboard sporting it's not-so-smart-assist

      technology.<br>

      >    <br>

      ><br>

      > On Nov 3, 2014 5:37 PM, "David Lang" <<a href="mailto:david@lang.hm" target="_blank">david@lang.hm</a>

      <a href="mailto:david@lang.hm" target="_blank"><mailto:david@lang.hm></a>> wrote:<br>

      ><br>

      >     On Mon, 3 Nov 2014, singh.janmejay wrote:<br>

      ><br>

      >         I am thinking of it as a 2nd class field-type.<br>

      ><br>

      >         By that I mean, one gets best performance from 1st

      class supported<br>

      >         field-types, but if for some reason that is not

      sufficient for someone,<br>

      >         they can use a regex-field-type. It may be a little

      low on performance, but<br>

      >         then it unblocks people immediately.<br>

      ><br>

      >         I can do it, just need to know we are not

      ideologically against it.<br>

      ><br>

      >         Kind of construct im thinking of:<br>

      ><br>

      >         %foo:regex:[a-f0-9]+% to match hex-numbers for

      instance.<br>

      ><br>

      >         Thoughts?<br>

      ><br>

      ><br>

      >     Since this will be such a performance pig compared to the

      existing parse tree, how about requiring a 'enable low performance

      types' flag or something like that to enable it?<br>

      ><br>

      >     There needs to be some good indicator that this is a

      performance problem.<br>

      ><br>

      >     David Lang<br>

      >     _______________________________________________<br>

      >     Lognorm mailing list<br>

      >     <a href="mailto:Lognorm@lists.adiscon.com" target="_blank">Lognorm@lists.adiscon.com</a>

      <a href="mailto:Lognorm@lists.adiscon.com" target="_blank"><mailto:Lognorm@lists.adiscon.com></a><br>

      >     <a href="http://lists.adiscon.net/mailman/listinfo/lognorm" target="_blank">http://lists.adiscon.net/mailman/listinfo/lognorm</a><br>

      ><br>

      >     _______________________________________________<br>

      >     Lognorm mailing list<br>

      >     <a href="mailto:Lognorm@lists.adiscon.com" target="_blank">Lognorm@lists.adiscon.com</a>

      <a href="mailto:Lognorm@lists.adiscon.com" target="_blank"><mailto:Lognorm@lists.adiscon.com></a><br>

      >     <a href="http://lists.adiscon.net/mailman/listinfo/lognorm" target="_blank">http://lists.adiscon.net/mailman/listinfo/lognorm</a><br>

      ><br>

      ><br>

      ><br>

      > _______________________________________________<br>

      > Lognorm mailing list<br>

      > <a href="mailto:Lognorm@lists.adiscon.com" target="_blank">Lognorm@lists.adiscon.com</a><br>

      > <a href="http://lists.adiscon.net/mailman/listinfo/lognorm" target="_blank">http://lists.adiscon.net/mailman/listinfo/lognorm</a></span><br>

    <br>

    <br>

    - -- <br>

    - - Quadrant Information Security<br>

      Champ Clark III<br>

      o: 800.538.9357 x 101<br>

      c: 850.443.2440<br>

    -----BEGIN PGP SIGNATURE-----<br>

    Version: GnuPG v1.4.11 (GNU/Linux)<br>

    <br>

    iQEcBAEBAgAGBQJUV6S0AAoJENnmXt7Lmc3KAwEH/jiwhj/nhFRpvRm7DttrvYTE<br>

    U7kHpjToIMlCSiJqiS4bnvOTS4oTG6mQ5myYzAr16ITTIJQLnJSHmVWBgxlGdUlM<br>

    Kq33I+zYjfUK2Go01PSoLjoE3rgdGa1hptFHVUZREuRkzSP6THtXn8XhexmZzdpH<br>

    1lC+ZXwNZ9k7FsWm3M027I8zGDKnvZLVdf2UJUElyrNxmWW04ieR3lqJ5qh3Uj8l<br>

    OvTzEDYObghwyS6hThNb1oMz2Sr1AD/mWu+sri1BDKqlPyMkQgYe8KNyI4sKBQHL<br>

    AdCi3TXMvYa8WMb5AOVL4tX0QrOgwNj5mbpeWb2vWrV/S2mkN39TZbE406W91T8=<br>

    =rGsk<br>

    -----END PGP SIGNATURE-----<br>

    <br>

  </div>


<br>_______________________________________________<br>

Lognorm mailing list<br>

<a href="mailto:Lognorm@lists.adiscon.com" target="_blank">Lognorm@lists.adiscon.com</a><br>

<a href="http://lists.adiscon.net/mailman/listinfo/lognorm" target="_blank">http://lists.adiscon.net/mailman/listinfo/lognorm</a><br>

<br></blockquote></div>

</blockquote></div>