Resulta que tenemos un servidor que almacena syslogs de diferentes «cacharros». Y como todo, empiezas a añadir cosas y al final el fichero es tan grande que no hay quien encuentre nada. Necesitaba que algunos de los orígenes se almacenaran en diferentes ficheros para que no petara la herramienta (Loganalyzer).
Estuve leyendo algunas cosas en la documentación de Rsyslog:
https://www.rsyslog.com/doc/v8-stable/configuration/filters.html
Otra solución que encontré …
https://superuser.com/questions/1002856/rsyslog-how-to-separate-incoming-logs-with-ip-addresses
Y al final me quede con una mezcla de todo … y creo que es lo mas fácil.
Editas el fichero /etc/rstslog.d/50-default.conf
Añades al final del fichero tus reglas:
:FROMHOST, startswith,»xxx.xxx.xxx.xxx» /var/log/otro-syslog
Reinicias el demonio y listo … todo lo que venga del origen se va al otro fichero.