Фильтрация и обработка логов в rsyslog происходят с помощью модулей фильтрации. 12 Они позволяют фильтровать поступающие сообщения по различным критериям. 1

Каждое правило имеет свой синтаксис: сначала идёт источник и приоритет, затем действие. 2 Если источник и приоритет совпадают, сообщение отправляется в указанный файл. 2

Для фильтрации логов могут использоваться не только источник и приоритет, но и более сложные выражения на основе условий и сравнений. 2 Например, можно выполнять фильтрацию сообщений с помощью синтаксиса: :поле, сравнение, 'значение' путь_к_файлу. 2 В качестве операции сравнения можно использовать такие варианты: contains — поле содержит указанное значение, isequal — поле должно быть идентичным значению, startswith — поле должно начинаться со значения, regex — сравнивает поле с регулярным выражением. 2

Чтобы остановить обработку сообщения, можно использовать специальное discard action: stop или ~ в легаси-формате. 4