В данный момент я пересылаю все с: *.* @remoteserverIP:514. Я попытался использовать :msg, contains, "snort" @remoteserverIP:514 и все еще не повезло. Моя задача для rsyslog - получить все журналы *.*, отфильтровать все журналы, которые не содержат Auth.Alert или snort, отправить их на @remoteserverIP:514. Какой синтаксис я должен использовать для этого?