<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 12 September 2014 18:23, Jeremy Laidman <span dir="ltr"><<a href="mailto:jlaidman@rebel-it.com.au" target="_blank">jlaidman@rebel-it.com.au</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><span style="font-family:arial,sans-serif;font-size:13px">And it's lower-case.</span></div></div></blockquote><div><br></div><div>Sorry, I meant that "ignore" is usually in lower-case.  I'm not sure it matters, but the man page examples use "ignore matchstring" in lower-case.  The upper-case version, like "IGNORE=matchstring" is the format used in analysis.cfg, and defines to what to ignore when alerting rather that what to ignore when sending log messages.  If you're trying to create a rule for analysis.cfg, then your "log" line is in the wrong format, and should be</div><div><br></div><div>LOG /appdata/logserver/local7.log IGNORE=%(?-i)apcontroller|cli.WARNING|cli.NOTICE</div><div><br></div><div>J</div><div><br></div></div></div></div>