rsyslog - cách gắn thẻ và áp dụng bộ quy tắc theo nội dung dòng?

Tôi đang dọn dẹp và chuẩn hóa việc xử lý nhật ký của chúng tôi, thêm thông thạo và ELK. Phần này đang hoạt động tốt, vì nginx đang đăng nhập vào tệp của chính nó:

input(type="imfile" tag="app.nginx" file="/var/log/nginx/access.log" ruleset="fluentd")

Tuy nhiên, các thành phần khác của ứng dụng, ví dụ: quy trình python, đang đăng nhập vào /var/log/syslog với các thông điệp tường trình có tiền tố là [bình giữ nhiệt]. Tôi muốn lọc /var/log/syslog tin nhắn có chứa [bình giữ nhiệt], gắn thẻ họ với ứng dụng.flask, và áp dụng lưu loát bộ quy tắc.

Tôi có thể định cấu hình từng dịch vụ để đăng nhập vào tệp riêng của nó như nginx, nhưng tôi muốn tránh thay đổi cấu hình systemd nếu có thể.

Cuối cùng tôi đã giải quyết vấn đề này bằng cách chuyển hướng thư đến một tệp nhật ký cụ thể rồi thêm một đầu vào chỉ vào nó.

nếu $rawmsg chứa "[flask]" thì /var/log/flask.log

input(type="imfile" tag="app.flask" file="/var/log/flask.log" ruleset="fluentd")

Nếu có cách để thực hiện việc này mà không cần chuyển hướng đến một tệp khác thì tôi vẫn muốn biết.