<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7654.12">
<TITLE>Re: [Xymon] Regular expression</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->
<BR>
<BR>
<BR>

<P><FONT SIZE=2>On 9/22/11 7:54 AM, "Neil Simmonds" <Neil.Simmonds@express-gifts.co.uk><BR>
wrote:<BR>
<BR>
> Hi all,<BR>
> <BR>
> Iım trying to monitor a Windows event log for an error,<BR>
> <BR>
> Iıve got BBWin 0.12 installed in central mode and Iıve successfully got the<BR>
> eventlogs showing up in messages,<BR>
> <BR>
> However if I get an error from Backup Exec similar to this,<BR>
> <BR>
> error - 2011/09/22 13:30:00 - Backup Exec System Recovery (100) - Error<BR>
> EC8F17B7: Cannot create recovery points for job: BACKUP_SCHED_01_30_SAT. Error<BR>
> E7B70001: Win32/Win64 API DeviceIoControl(IOCTL_VSNAP_VDIFF_STOP) failed.<BR>
> Error EBAB03F1: The device does not recognize the command. Details: 0xE7B70001<BR>
> Source: Backup Exec System Recovery<BR>
> <BR>
> Despite the fact that I have this, ³LOG eventlog:Application %(Backup Exec<BR>
> System Recovery\.+?|Error) COLOR=yellow² in my analysis.cfg file the color<BR>
> doesnıt change.<BR>
<BR>
Why did you escape the . ?  If you remove the \ in front of the ., it might<BR>
work better.<BR>
<BR>
I don't think you need to specify greediness either.<BR>
<BR>
In other projects we tend to be very suspicious of unqualified .+<BR>
expansions, as they can consume a lot of memory.  You might try something<BR>
like:<BR>
%(Backup Exec System Recovery.{1,50}Error)<BR>
<BR>
That is read as "look for the exact words "Backup Exec System Recovery",<BR>
followed by the word "Error" no more than 50 characters later..."<BR>
<BR>
<BR>
--<BR>
Daniel J McDonald, CCIE # 2495, CISSP # 78281<BR>
<BR>
</FONT>
</P>

</BODY>
</HTML>