[Cascavel-pm] parser do EventLog do Windows NT (era sem assunto)

Alceu R. de Freitas Jr. glasswalk3r em yahoo.com.br
Sábado Novembro 26 15:30:02 PST 2005


Oi Solli,

O email do Flávio já matou a maior parte do problema.
Mas vou dar meus dois centavos. Você usa muito
expressão regular no seu programa. Talvez exista a
possibilidade de usar comparações de string ao invés
de expressões regulares. Eu imagino que isso aqui:

EVENTLOG_AUDIT_FAILURE

seja uma constante que você importou em algum lugar do
código. Se você puder separar a mensagem de log do
valor dessa constante, você passa a fazer comparações
ao invés de usar regex.

E aproveitando o ensejo... porque você usa tanto
operações binárias? Por causa das linhas em
hexadecimal que aparece nas mensagens do EventLog?

[]'s
Alceu


--- "Flavio S. Glock" <fglock em gmail.com> escreveu:

> Solli:
> 
> Você precisa que as regras sejam executadas em
> ordem, por isso é
> melhor utilizar um Array de Regras.
> Sugiro começar com uma estrutura de dados assim:
> Mais tarde, você poderá mover isso para um arquivo
> YAML.
> 
> my @Rules = (
>     {   event => 'Message',
>         action => 'Exclude',
>         rule => [ 'log.*iniciado','log.*finalizado'
> ],
>     },
>     {   event => 'Source',
>         action => 'Include',
>         rule => [ 'DCOM' ],
>     },
>     {   event => 'ID',
>         action => 'Exclude',
>         rule => [ '7035', '7036' ],
>     },
>     ...
> );



	



	
		
_______________________________________________________ 
Faça do Yahoo! sua página inicial. 
http://br.yahoo.com/homepageset.html 



Mais detalhes sobre a lista de discussão Cascavel-pm