В syslog прилетают сообщения от KMS (Kerio Mail Server). В Log Parser указано при каких условиях должно появиться событие (допустим неудачная аутентификация) - все окей, все срабатывает, все генерируется.
Проблема возникла с передачей строки Message из syslog дальше. Почему то %m в Event Configuration возвращает пустую строку. Чего делать, куда копать?
Если в регулярном выражении есть capture groups (части выражения в скобках), то значение первой группы попадет в %1, второй - в %2, и т.д. Например, для выражения
Error (.*) on (.*)
после матчинга строки
Error 244 on test.server.com
%1 будет равен 244, а %2 test.server.com
Спасибо, все заработало!