<div dir="ltr">I am struggling with a configuration to rewrite specific sections of a Windows Event log message and then send them along to splunk (I think json is probably the easiest for splunk to ingest).<div><br></div><div>Many windows events contain extraneous text (e.g. "This event.....") that I would like to remove.</div><div><br></div><div>I have been able to rewrite it using a regex </div><div>"This event.*</Message>" and replacing that with "DEADBEEF</Message>"</div><div><br></div><div>The problem is that I can only see this in a test file destination and not in one that uses format-json (I set this up from the syslog-ng WEF configuration guide)</div><div><br></div><div>Has anyone done anything like this?</div><div><br></div><div>I think my problem is that I don't understand how the message is changed from it's arrival through processing. My test can rewrite it within MSG or MESSAGE - but when I try to use the rewrite() in the log statement using the format-json destination, nothing seems to be changed.</div><div><br></div><div>Tips?</div><div><br></div><div>Thanks!</div><div>Jim</div><div><br></div><div><br></div></div>