for now, I removed GROUP/EXGROUP in alert rules and reverted to alert upon 'host= service='.  It is not desirable since granularity rendered possible by GROUP is lost: alert is sent for the whole 'msgs' service instead of one out of nine file/log checks for that 
host.msgs<br><br><div><span class="gmail_quote">On 11/29/06, <b class="gmail_sendername">Jerry Yu</b> <<a href="mailto:jjj863@gmail.com">jjj863@gmail.com</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
if I have a alert rule as below in hobbit-alerts.cfg, every alerts will match the GROUP rule, plus EXGROUP doesn't seem to be effective either.  Such behavior was observed from the real email received as well as by the insightful "bbcmd hobbitd_alert --test".
<br><br>Only one group is defined. <br><span style="font-family: courier new,monospace; background-color: rgb(204, 255, 255);">GROUP=junkgroup</span><br style="font-family: courier new,monospace; background-color: rgb(204, 255, 255);">

<span style="font-family: courier new,monospace; background-color: rgb(204, 255, 255);">   MAIL <a href="mailto:junkgroup@my.domain" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">junkgroup@my.domain
</a> color=red <br>HOST=* EXGROUP=junkgroup<br>   MAIL <a href="mailto:realdeal@my.domain" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
realdeal@my.domain</a> color=yellow<br></span><br>It is the same case if the group named in hobbit-alerts.cfg is bogus, aka, not defined in hobbit-clients.cfg. <br>

<br>Only one group is defined in hobbit-clients.cfg, as listed below: <br>  <span style="font-family: courier new,monospace; background-color: rgb(204, 255, 255);">log /tmp/junkgroup.log  %(?-i)USER-ID:|EXCEPTION: IGNORE=kilobyte group=junkgroup
<br><br></span><span style="background-color: rgb(204, 255, 255);"><span style="background-color: rgb(255, 255, 255);">In case it matters, this is the only Hobbit server running on CentOS 4.3/i386. Version==4.2RC1-20060712

</span></span><span style="font-family: courier new,monospace; background-color: rgb(204, 255, 255);"><br></span>

</blockquote></div><br>