Você pode fazer isso usando condicionais , embora a configuração da sintaxe do rsyslog dependa da versão que você está executando - e essa versão do CentOS está ficando antiga.
Após a configuração do seu servidor udp ( UDPServerRun
ou lookalike), e antes das diretivas encaminharem mensagens para o remoto, você pode tentar adicionar o seguinte:
if $fromhost-ip startswith '10.0.0.' then /var/log/remotelogs.log
& ~
Isso deve enviar logs remotos para um arquivo separado e evitar processamento / retransmissão adicional.
Embora se você pretende encaminhar mensagens syslog, eu recomendo que você considere a configuração de um servidor de proxy / armazenamento syslog dedicado - até mesmo dois, se a manutenção de cópias duplicadas for obrigatória. Se você acha que um servidor syslog simples não vale seu tempo: você pode dar uma olhada no Logstash (e na pilha ELK em geral), ou no Splunk, ... talvez como um projeto paralelo.