Henrik,<br><br>

<p class="MsoNormal"><span style="" lang="EN-GB">Well, may
be, we could look at logcheck project. <a href="http://logcheck.org">http://logcheck.org</a> .<br>
I installed it once and the idea was nice.<br>
Every log message was considered as alerts until you create the regexp to ignore
it.<br>
So, of course, the first days, we would get a lot of alerts on msgs until the
database has all the common regular expression. It would be called the "learning
time". The nice thing is : if one day, new unknown messages is sent by a client,
we are sure to get an alert until we add it to the regexp database.</span></p>

<p class="MsoNormal"><span style="" lang="EN-GB"><br>
So, the knowledge database could of course contain include to be able to have
some special regulars databases depending the os, the group, the host or the
application type to be able to organize clearly the regexp database. All regexp
entries in the database would include the alert type and help notes  to understand alerts as  you all said.</span></p>



<p class="MsoNormal"><span style="" lang="EN-GB"><br>To get
configuration from the hobbit server, I think the actual protocol would may be need an
extra word  :</span></p>

<p class="MsoNormal"><span style="" lang="EN-GB"> </span></p>

<p class="MsoNormal"><span style="" lang="EN-GB">The actual
config message is sent from the client to the hobbit server with only one argument the filename :</span></p>

<p class="MsoNormal"><span style="" lang="EN-GB">Config <filename></span></p>



<p class="MsoNormal"><span style="" lang="EN-GB"> <br>I think for
the future, it will be easyer if you implement config message like this :</span></p>

<p class="MsoNormal"><span style="" lang="EN-GB">Config <filename>
<hostname></span></p>



<p class="MsoNormal"><span style="" lang="EN-GB"><br></span></p>

<p class="MsoNormal"><span style="" lang="EN-GB"> </span><span style="font-size: 12pt; font-family: "Times New Roman";" lang="EN-GB">(sorry for the bad English)</span><br></p><br>-- <br>Etienne<br>