Seria melhor ingerir os logs no Splunk e fazer com que o UniversalFowarder ou o Indexer descarte o que você precisa. É muito mais fácil ajustar isso com o Splunk e depois modificar o rsyslog. Você pode fazer isso com adereços e transforma.
Defina o que você precisa em props.conf Então o transforms.conf
O que eu faria é usar o regex.
No seu props.conf:
[source::udp:514]
TRANSFORMS-drop_hosts = drop_ABCHOSTS
Em seu transforms.conf:
[drop_ABCHOSTS]
SOURCE_KEY = Metadata:Host
REGEX = ABC1\.log
DEST_KEY = queue
FORMAT = nullQueue