<div dir="ltr">Thanks Jason -<div><br></div><div>Late last night I ended up using the eve-log output to parse out what I needed. This should be sufficient for now.</div><div><br></div><div><br></div><div>Thanks!</div><div><br></div><div>Jake</div><div><br></div><div class="gmail_extra"><div><div class="gmail_signature"><div dir="ltr"><div dir="ltr"><br></div></div></div></div><div class="gmail_quote">On Wed, Apr 13, 2016 at 8:30 AM, Jason Ish <span dir="ltr"><<a href="mailto:lists@unx.ca" target="_blank">lists@unx.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, Apr 12, 2016 at 1:35 PM, Jacob King <<a href="mailto:jake@hootsuite.com">jake@hootsuite.com</a>> wrote:<br>
> I wanted to know if there was a method for changing the delimiter character:<br>
><br>
> 04/12/2016-10:00:26.390382  [**] [1:2013926:8] ET POLICY HTTP traffic on<br>
> port 443 (POST) [**] [Classification: Potentially Bad Traffic] [Priority: 2]<br>
> {TCP} XX.XX.XX.XX:XXXXX -> XX.XX.XX.XX:443<br>
><br>
> I noticed that it is contstantly set as the [**] string, and I wanted to<br>
> change it to a single unicode char that i can parse easily with some log<br>
> analysis tools. It appears to be consistent along dns, http and https.<br>
><br>
> Any help would be appreciated.<br>
<br>
</span>There is no official way to do this, you would have to modify the<br>
code. But I'd highly suggest looking at the JSON output (eve-log). Its<br>
very easy to parse, then mangle with Python, Perl most other<br>
languages.<br>
<span class="HOEnZb"><font color="#888888"><br>
Jason<br>
</font></span></blockquote></div><br></div></div>

<br>
<font size="1" color="#ffffff">id: 7898659753248090</font>