Os arquivos de configuração do Rsyslog estão localizados em: /etc/rsyslog.d/*.conf
O Rsyslog lê os arquivos conf sequencialmente, por isso é importante que você nomeie seu arquivo de configuração para que a configuração específica seja carregada antes que qualquer outra coisa aconteça. Então, nomeie seu arquivo começando com zeros à esquerda, ou seja 00-my-file.conf. É melhor criar um novo arquivo para que as atualizações e assim por diante não substituam sua configuração local.
Exemplo:
if $programname == 'programname' and $msg contains 'a text string' and $syslogseverity <= '6' then /var/log/custom/bind.log
Ou se você apenas deseja descartar determinadas entradas:
if $programname == 'programname' then ~
No seu caso: (UDP)
if $programname == 'programname' then @remote.syslog.server
& ~
Ou (TCP)
if $programname == 'programname' then @@remote.syslog.server
& ~
Os & ~meios para interromper o processamento de entradas correspondentes (somente linha anterior!).
Algumas informações mais gerais:
Além disso, sempre verifique se os filtros estão na mesma linha:
# Example: Log mail server control messages to mail-queue.log
if $hostname == 'titus'\
and $programname == 'smtp.queue.'\
and $syslogseverity <= '6' then /var/log/titus/mail-queue.log
& ~
Filtros úteis:
$hostname
$programname
$msg
$syslogseverity
Operadores:
== (equals)
contains
and
or
Mais informações: http://wiki.rsyslog.com/index.php/Configuration_Samples