<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html><head>

    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">

    <meta name="generator" content="Osso Notes">

    <title></title></head>

<body>

<p>----- Original message -----

<br>&gt; 

<br>&gt; For our own purposes we will be adding a few parsers to the patterndb

<br>&gt; syntax, and will be contributing them back to Balabit, so I wanted to

<br>&gt; choose reasonable/acceptable names for these. Feedback on what these do

&gt; and/or the name of the parser would be appreciated.

<br>&gt; 

<br>&gt; HOSTNAME

<br>&gt; 

<br>&gt; This is really the same as @STRING:xxx:.-_@ but makes the pattern much

<br>&gt; more readable. I am still considering if any triailing period should be

<br>&gt; consumed but dropped. This would make it easier to parse a hostname that

<br>&gt; comes at the end of a log line where the log line ends in a period, as

&gt; well as forced FQDN names that are logged.

<br>&gt; 

<br>

sounds good.

<br>

<br>&gt; EMAIL

<br>&gt; 

<br>&gt; email addresses are difficult to parse because they have an @ symbol in

<br>&gt; them. This parser would accept a list of characters that would be

<br>&gt; dropped beginning and end of the match. such as "<a href="mailto:erempel@uvic.ca">erempel@uvic.ca</a>" or

<br>&gt; &lt;<a href="mailto:erempel@uvic.ca">erempel@uvic.ca</a>&gt; and return just the e-mail address <a href="mailto:erempel@uvic.ca">erempel@uvic.ca</a> in

&gt; the specified tag name.

<br>&gt; 

<br>

good idea.

<br>

<br>&gt; MACETH

<br>&gt; 

<br>&gt; Parse upper/lower case ethernet MAC addresses such as 78:2B:CB:70:49:73

<br>

<br>there's already a parser for this in 3.4, iirc it is called macaddr

<br>&gt; 

<br>&gt; MACIB

<br>&gt; 

<br>&gt; Parse upper/lower case infiniband addresses such as

<br>&gt; 80:00:00:48:fe:80:00:00:00:00:00:00:00:02:c9:03:00:05:bc:15

<br>&gt; 

<br>&gt; MACFC

<br>&gt; 

<br>&gt; Parse upper/lower case fibre channel addresses (these are fibre channel

<br>&gt; (w)orld (w)ide (n)ames often refered to as WWN but in keeping with the

<br>&gt; (m)edia (a)ccess (c)ontrol layer names I have chosen for MACETH and

&gt; MACIB I thought that MACFC was more consistent.

<br>&gt; 

<br>

I wouldn't use MAC prefix for either of these, only if it's really that usual to call these macs.

<br>

<br>&gt; 

&gt; Thanks for your feedback.

<br>&gt; 

<br>

some refactoring in the parser area is dearly needed, the pattern parsing code is ugly. I'm not sure when I get there to refactor that, i just &#32;wanted to warn you :) or if you could split that huge function to smaller ones and use a lookup table instead of the if-else-if mess, that would be appreciated.

<br>

<br>thanks for considering this. these ideas are great</p>

</body>

</html>