Задача:
Оповещать о событиях в System логе по <source>Cissesrv</source>.
Но не должны приходить оповещения событий с кодами 24581 (остановка сервиса) и 24578 (запуск сервиса).
Я просто не знаю и не нашел какие еще номера кодов бывают у этого сервиса.
Мой код:
<parser>
<file>*System</file>
<rules>
<rule>
<source>Cissesrv</source>
<match>(.*)</match>
<event params="1">100017</event>
</rule>
</rules>
</parser>
Попробуйте так:
<parser>
<file>*System</file>
<rules>
<rule>
<source>Cissesrv</source>
<id>24578</id>
</rule>
<rule>
<source>Cissesrv</source>
<id>24581</id>
</rule>
<rule>
<source>Cissesrv</source>
<match>(.*)</match>
<event params="1">100017</event>
</rule>
</rules>
</parser>
Пофиг.
Все равно шлет.
Видимо обрабатывет весь XML файл, а не прерывается нарвавшись на первое подходящее правило.
UP
А версия агента 0.2.31? Раньше был такой баг, но в 0.2.31 его исправили. Я попробовал только что у себя такую конфигурацию:
<parser trace="4">
<file>*System</file>
<rules>
<rule>
<id>7036</id>
<source>Service Control Manager</source>
</rule>
<rule>
<match>(.*)</match>
<event params="1">100008</event>
</rule>
</rules>
</parser>
- работает как надо - посылает события на все записи в event log, кроме записей с ID 7036 и source "Service Control Manager".
Если версия агента 0.2.31 - попробуйте поставить trace и запустить агента в debug mode (nxagentd -D) - будем смотреть логи.
Сам ступил.
У меня три одинаковых сервера.
Я правильный XML файл создал на 2-х из них, а проверял на 3-м, на котором неправильный был.
Все работает.