<div dir="ltr">.On Thu, Feb 2, 2017 at 2:24 PM, Paul Roberts <span dir="ltr"><<a href="mailto:paul@callevanetworks.com" target="_blank">paul@callevanetworks.com</a>></span> wrote:<div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I agree, there are an awful lot of systems and SIEM products that process querylogs. This one change will require a huge amount of re-engineering work in customer environments.<br><span class="gmail-HOEnZb"><font color="#888888"><br></font></span></blockquote><div><br></div><div>Exactly</div><div><br></div><div><div><br></div><div>Mukund:  We use Splunk to analyze the querylogs and we use a regex to drop unnecessary data.  I had to make the change in our regexes to avoid licensing issues.  I did not file a bug report because now that I've made the Splunk config changes, changing it back in the querylog format will once again invalidate my regex.</div><div><br></div><div>My criticism was not with the addition of the new data, but rather it's location.  It seems to me that right after the word "client" should come client data (like an IP address or host name), not the memory location for the running process.</div><div><br></div><div>Thank you, though, for your work on a fantastic piece of software.</div><div><br></div><div>Mike</div></div><div><br></div></div></div></div>