[Cascavel-pm] parser do EventLog do Windows NT (era sem assunto)
Alceu R. de Freitas Jr.
glasswalk3r em yahoo.com.br
Sábado Novembro 26 15:30:02 PST 2005
Oi Solli,
O email do Flávio já matou a maior parte do problema.
Mas vou dar meus dois centavos. Você usa muito
expressão regular no seu programa. Talvez exista a
possibilidade de usar comparações de string ao invés
de expressões regulares. Eu imagino que isso aqui:
EVENTLOG_AUDIT_FAILURE
seja uma constante que você importou em algum lugar do
código. Se você puder separar a mensagem de log do
valor dessa constante, você passa a fazer comparações
ao invés de usar regex.
E aproveitando o ensejo... porque você usa tanto
operações binárias? Por causa das linhas em
hexadecimal que aparece nas mensagens do EventLog?
[]'s
Alceu
--- "Flavio S. Glock" <fglock em gmail.com> escreveu:
> Solli:
>
> Você precisa que as regras sejam executadas em
> ordem, por isso é
> melhor utilizar um Array de Regras.
> Sugiro começar com uma estrutura de dados assim:
> Mais tarde, você poderá mover isso para um arquivo
> YAML.
>
> my @Rules = (
> { event => 'Message',
> action => 'Exclude',
> rule => [ 'log.*iniciado','log.*finalizado'
> ],
> },
> { event => 'Source',
> action => 'Include',
> rule => [ 'DCOM' ],
> },
> { event => 'ID',
> action => 'Exclude',
> rule => [ '7035', '7036' ],
> },
> ...
> );
_______________________________________________________
Faça do Yahoo! sua página inicial.
http://br.yahoo.com/homepageset.html
Mais detalhes sobre a lista de discussão Cascavel-pm