A regexp replalace egyelrőre TODO, de hamarosan megcsinálom. Van sima replace() illetve xm_perl és ott bűvészkedhetsz tetszés szerint.
Ha windows-ról szeretnél logot beküldeni rsyslog-nak, akkor esetleg próbálhatod a snare formátumot, ez elég elterjedt. Esetleg valami modernebb strukturált formátumban is küldheted mint a JSON.
Az syslog_rfc3164 formázó valóban lecseréli a whitespace-t.
Az "ascii//translit" helyett nem inkább "utf-8" kellene?
Egyébként ajánlom a levelező listát, ott esetleg más is tud segíteni.