Eu não estou familiarizado com o syslog-ng (eu uso o rsyslog e outros) mas eu acho que o que você realmente deveria ter é um mapa que pegue o source-ip ou identifier, e retorna o que você quer chamá-lo, presumivelmente, há um padrão que você pode usar também.
Em link
map-value-pairs: Rename value-pairs to normalize logs template and rewrite: Format, modify, and manipulate log messages > Modifying messages using rewrite rules > map-value-pairs: Rename value-pairs to normalize logs The map-value-pairs() parser allows you to map existing name-value pairs to a different set of name-value pairs. You can rename them in bulk, making it easy to use for log normalization tasks (for example, when you parse information from different log messages, and want to convert them into a uniform naming scheme). You can use the normal value-pairs expressions, similarly to value-pairs based destinations.
Available in syslog-ng OSE version 3.10 and later.
Declaration: parser parser_name { map-value-pairs( <list-of-value-pairs-options> ); };
E, em seguida, usou a saída desse mapa em um modelo.
E de link
destination d_file { file("/var/log/${YEAR}.${MONTH}.${DAY}/messages" template("${HOUR}:${MIN}:${SEC} ${TZ} ${HOST} [${LEVEL}] ${MESSAGE}\n") template-escape(no)); };