my decoder like this
<decoder name="windows-event">
<type>windows</type>
<prematch>windows-events</prematch>
<regex>(.*)Security-Auditing(.*)</regex>
<order>extra_data,srcip,status</order>
</decoder>
<decoder name="windows-event">
<parent>windows-event</parent>
<regex>(.*):(.*)</regex>
<order>srcip</order>
</decoder>
and run this
[root@localhost bin]# ./ossec-logtest
2013/01/25 17:41:06 ossec-testrule: INFO: Reading local decoder file.
2013/01/25 17:41:06 ossec-testrule: INFO: Started (pid: 4237).
ossec-testrule: Type one log per line.
Jan 25 17:30:49 QAD2008PDC Security-Auditing: 4634: 已注销帐户。 主题: 安全 ID:
S-1-5-21-1711970232-2354226796-785077339-2592 帐户名: open_ldap 帐户域:
登录 ID: 0x16ddca912 登录类型: 3 在登录会话被破坏时生成此事件。可以使用登录 ID
值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。
**Phase 1: Completed pre-decoding.
full event: ' Jan 25 17:30:49 QAD2008PDC Security-Auditing: 4634: 已注销帐户。
主题: 安全 ID: S-1-5-21-1711970232-2354226796-785077339-2592 帐户名: open_ldap 帐户域:
登录 ID: 0x16ddca912 登录类型: 3 在登录会话被破坏时生成此事件。可以使用登录 ID
值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。'
hostname: 'localhost'
program_name: '(null)'
log: ' Jan 25 17:30:49 QAD2008PDC Security-Auditing: 4634: 已注销帐户。 主题: 安全
ID: S-1-5-21-1711970232-2354226796-785077339-2592 帐户名: open_ldap 帐户域:
登录 ID: 0x16ddca912 登录类型: 3 在登录会话被破坏时生成此事件。可以使用登录 ID
值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。'
**Phase 2: Completed decoding.
No decoder matched.
thanks&Best Regards
发件人: root
发送时间: 2013-01-25 17:32
收件人: ossec-list
主题: how to decode windows events use chinese keyword
hi,all
how to decode windows events use chinese keyword ?
thanks&Best Regards
--
