Нужна помощь в настройке rsyslog

Я пытаюсь определить лучший способ фильтрации журналов из rsyslog. В настоящее время, учитывая характер моей среды, я получаю различные типы журналов от разных хостов через один канал от ОДНОГО хоста. Поэтому мне нужно отфильтровать эти журналы по различным типам устройств и именам хостов. Например, я хотел бы иметь структуру папок, которая заканчивается на /rsyslog/windows/host1/firstlog.log, /rsyslog/windows_sysmon/host1/firstlog.log, /rsyslog/centrify/host2/firstlog.log и т. Д.

Каков наилучший способ сделать это? Я думаю что-то вроде запуска регулярных выражений, чтобы определить тип журнала, извлечь имя хоста и записать журналы в соответствующие папки.