从 Windows 机器到达我们的 Kiwi syslog 服务器的日志如下所示:
EventLog 1 System 483 Thu Nov 18 04:51:53 2010 7036 Service Control Manager Unknown User N/A Information host.domain.com None 0000: 57 00 69 00 6e 00 48 00 .... 0008: 74 00 74 00 70 00 41 00 .... 0010: 75 00 74 00 6f 00 50 00 .... 0018: 72 00 6f 00 78 00 79 00 .... 0020: 53 00 76 00 63 00 2f 00 .... 0028: 34 00 00 00 6e 69 6e 67 ... The WinHTTP Web Proxy Auto-Discovery Service service entered the running state. 125
有没有办法删除额外的信息(十六进制、点等)并只显示消息的可读部分?我们正在为客户端使用 Snare。
谢谢。
答案1
Syslog-ng(http://www.balabit.com/network-security/syslog-ng/)具有相当强大的重写功能。您可以在此处找到重写语法的描述:
这是一个非常棒的产品。