Los archivos de configuración de Rsyslog se encuentran en: /etc/rsyslog.d/*.conf
Rsyslog lee los archivos conf secuencialmente, por lo que es importante que asigne un nombre a su archivo de configuración para que la configuración específica se cargue antes de que ocurra cualquier otra cosa. Entonces, nombre su archivo comenzando con ceros a la izquierda, es decir 00-my-file.conf. Es mejor crear un nuevo archivo para que las actualizaciones, etc., no sobrescriban su configuración local.
Ejemplo:
if $programname == 'programname' and $msg contains 'a text string' and $syslogseverity <= '6' then /var/log/custom/bind.log
O si solo desea descartar ciertas entradas:
if $programname == 'programname' then ~
En su caso: (UDP)
if $programname == 'programname' then @remote.syslog.server
& ~
O (TCP)
if $programname == 'programname' then @@remote.syslog.server
& ~
Los & ~medios para dejar de procesar entradas coincidentes (¡solo en la línea anterior!).
Alguna información más general:
Además, siempre asegúrese de que los filtros estén en la misma línea:
# Example: Log mail server control messages to mail-queue.log
if $hostname == 'titus'\
and $programname == 'smtp.queue.'\
and $syslogseverity <= '6' then /var/log/titus/mail-queue.log
& ~
Filtros útiles:
$hostname
$programname
$msg
$syslogseverity
Operadores:
== (equals)
contains
and
or
Más información: http://wiki.rsyslog.com/index.php/Configuration_Samples