<font size=2 face="Courier New">Please can someone help me regarding the

precedence of rules in analysis.cfg?</font>

<br>

<br><font size=2 face="Courier New">analysis.cfg example to illustrate

my questions:</font>

<br>

<br><font size=2 face="Courier New">#-----------------------------------------------------------</font>

<br>

<br><font size=2 face="Courier New">HOST=Win32Server</font>

<br><font size=2 face="Courier New">        DISK

       C 85 90</font>

<br>

<br><font size=2 face="Courier New">DEFAULT</font>

<br><font size=2 face="Courier New">        DISK

       * 90 95</font>

<br>

<br><font size=2 face="Courier New">CLASS=win32</font>

<br><font size=2 face="Courier New">        DISK

       C 80 90</font>

<br><font size=2 face="Courier New">        LOG

       %.*          

       %error         COLOR=yellow</font>

<br><font size=2 face="Courier New">        LOG

       eventlog:Application      

 %warning         COLOR=yellow

       IGNORE="%warning .* Symantec AntiVirus

.* Could not scan .* files inside .* due to extraction errors encountered

by the Decomposer Engines\.Application has encountered an error"</font>

<br>

<br><font size=2 face="Courier New">#-----------------------------------------------------------</font>

<br>

<br><font size=2 face="Courier New">Assumption: Host 'Win32Server' is a

CLASS=win32 server running in central mode</font>

<br>

<br><font size=2 face="Courier New">DISK questions:</font>

<br>

<br><font size=2 face="Courier New">1. Does Win32Server's C disk go yellow

at 85, 90 or 95% ?</font>

<br>

<br><font size=2 face="Courier New">2. Is this because of the ORDER of

the applying rules (first HOST, then DEFAULT, then CLASS)</font>

<br><font size=2 face="Courier New">   or is it because HOST

is more specific then CLASS and CLASS is more specific then DEFAULT?</font>

<br>

<br><font size=2 face="Courier New">3. Does Xymon at all try to find further

possibly matching DISK rules after the first  matching</font>

<br><font size=2 face="Courier New">   rule - underneath HOST

in this example - has been encountered?</font>

<br>

<br><font size=2 face="Courier New">LOG questions:</font>

<br>

<br><font size=2 face="Courier New">1. If an eventlog message happens to

match the 1st of the above listed LOG rules</font>

<br><font size=2 face="Courier New">   (because it contains 'error'),

will the second rule be evaluated at all?</font>

<br><font size=2 face="Courier New"><br>

2. And if the 2nd rule should get evaluated, which of the 2 rules would

take precedence?<br>

   (Assuming both rules logically match, but have conflicting effects

because of the IGNORE</font>

<br><font size=2 face="Courier New">   - i.e. a line that matches

the IGNORE and hence has also the word 'error' in it.</font>

<br><font size=2 face="Courier New">   Will it be ignored, because

the 2nd rule applies? Or will it show yellow, because</font>

<br><font size=2 face="Courier New">   the 1st rule applies?

And why is this so?</font>

<br>

<br><font size=2 face="Courier New">3. The answers to the 2 prior questions

will probably already have answered this one:</font>

<br><font size=2 face="Courier New">   Should specific LOG rules

appear before or after the more general ones to give to give</font>

<br><font size=2 face="Courier New">   the first match precedence?</font>

<br>

<br><font size=2 face="Courier New">Many thanks<br>

Jürgen</font>