<p>First of many "quick fixes": could you set up an auto-restarting script to do "tail -f logfile | grep ERROR > errorlog"??  Then watch the aeroflot file.</p>
<p>Ralph Mitchell</p>
<div class="gmail_quote">On Nov 22, 2011 6:07 PM, "Elizabeth Schwartz" <<a href="mailto:betsy.schwartz@gmail.com">betsy.schwartz@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I've got to monitor some very large log files. They're up to a couple<br>
gigs a day and individual lines can be 30800 characters or more ,<br>
including HTML.<br>
(changing the log file format is a project for another day)   So my<br>
last half hour of one of these files chosen at random is 21,000 lines,<br>
47G.<br>
<br>
I want to look at all the lines that start with<br>
<br>
2011-11-22 4:15:31 ERROR        servicename LotsOfText<br>
<br>
I want to ignore lines that start<br>
2011-11-22 17:13:39 LOG NNNNN   servicename LotsOfHTML<br>
<br>
Ignoring all of those lines would  bring it to a manageable size (this<br>
particular file is 41 lines, 23k data)<br>
<br>
I've been playing around with rules in client-local.cfg like:<br>
[<a href="http://mmw2.example.com" target="_blank">mmw2.example.com</a>]<br>
log:/var/log/mmb1/MMRequest.log:10240<br>
trigger ERROR<br>
ignore LOG<br>
<br>
but I'm just not getting the ERROR lines in the log. Is this file just<br>
too large and too full of HTML to parse? Any suggestions?<br>
<br>
(we can write a custom script, of course, and I'm thinking of bringing<br>
in SEC. But it sure would be handy to be able to do this with out of<br>
the box xymon)<br>
_______________________________________________<br>
Xymon mailing list<br>
<a href="mailto:Xymon@xymon.com">Xymon@xymon.com</a><br>
<a href="http://lists.xymon.com/mailman/listinfo/xymon" target="_blank">http://lists.xymon.com/mailman/listinfo/xymon</a><br>
</blockquote></div>