Eu descobri a solução. O OpenLDAP usa o syslog facility LOCAL4 por padrão, e nos meus servidores centos6, isso não está definido.
No entanto, tenho o
*.* @10.10.10.10:514
que inclui local4, que não foi definido em outro lugar.
Para excluir especificamente (notei isso na linha que lida com / var / log / messages), posso fazer isso:
*.*;local4.none @10.10.10.10:514
Eu também posso combinar isso com os outros, como:
*.*;local4.none;mail.debug;local7.error @10.10.10.10:514
Acima, parece que, do meu teste, tudo é enviado, exceto local4, ou qualquer coisa "abaixo" de depuração no e-mail ou erro no local7
Isso parece manter meus dados do logstash muito mais claros.