Archivo de formato

Los agentes del sistema operativo extraen información de los mensajes de registro del sistema y, a continuación, hacen coincidir los distintos mensajes de registro con las clases de sucesos. Para correlacionar mensajes de registro con clases de suceso se utiliza un archivo de formato como archivo de búsqueda que indica a la clase de suceso qué se debe leer, qué debe coincidir y cómo se deben formatear los datos.

Cuando el archivo de formato se utiliza como un archivo de búsqueda, todas las especificaciones de formato en el archivo se comparan desde el principio al final del archivo. Si coinciden dos clases o un mensaje tiene varias clases coincidentes, se utiliza la primera expresión que coincide desde abajo. Si no se encuentra ninguna coincidencia, se descartará el suceso. Los sucesos descartados se graban en el registro de desemparejados si se ha definido en el archivo .conf.

Se describe la sintaxis de expresiones regulares que se utiliza para crear patrones que coincidan con los mensajes de registro y sucesos. Se proporciona soporte de filtrado de expresiones regulares utilizando las bibliotecas ICU (International Components for Unicode) para comprobar si un valor de atributo examinado coincide con el patrón especificado.

Para más información sobre cómo utilizar expresiones regulares, consulte Expresiones regulares en la Guía del usuario de ICU.