Хочу логи от программы snoopy складывать в отдельный файл, нигде не могу найти как пользоваться пользовательской категрией local0-local7, подскажите пожалуйста как решить мою задачу.

snoopy
local3.* /var/log/snoopy.log
или
!snoopy
local3.* /var/log/snoopy.log
в чем разница?

или лучше в rsyslog.d отдельный файл написать для snoopy?
каков там синтаксис, где прочитать, в man нету про local0-local7
ОС deabian

• rsyslog.cong local0 facility как,Pahanivo, 09:41 , 12-Авг-13
  • rsyslog.cong local0 facility как,mitay, 13:13 , 12-Авг-13
    • rsyslog.cong local0 facility как,reader, 14:18 , 12-Авг-13
    • rsyslog.cong local0 facility как,Pahanivo, 15:22 , 12-Авг-13
    • rsyslog.cong local0 facility как,Дядя_Федор, 15:52 , 12-Авг-13
      • rsyslog.cong local0 facility как,mitay, 07:51 , 13-Авг-13
        • rsyslog.cong local0 facility как,Дядя_Федор, 08:29 , 13-Авг-13
          • rsyslog.cong local0 facility как,mitay, 11:09 , 13-Авг-13

man syslog[d]
man syslog[d].conf

> man syslog[d]
> man syslog[d].conf

перекомпилировал snoopy с флагом --with-syslog-facility=LOG_LOCAL3

в syslog.conf:
local3.* -/var/log/snoopy.log

однако туда ничего не падает

а так же, везде после *.* добавил local3.none, однако лог snoopy туда продолжает падать
rsyslogd перезапускал.

И до кучи:
пытаюсь логи iptables отделить
:msg, startswith, "New not syn: " -/var/log/iptables/newnotsyn.log
& ~
:msg, startswith, "Stealth scan: " -/var/log/iptables/scan.log
& ~
:msg, startswith, "ICMP Fragment: " -/var/log/iptables/icmp.log
& ~
файлы создались, но логи в них не падают, хотя в syslog падают.

что я делаю не так, куда копать?

>[оверквотинг удален]
> в syslog.conf:
> local3.* -/var/log/snoopy.log
> однако туда ничего не падает
> а так же, везде после *.* добавил local3.none, однако лог snoopy туда
> продолжает падать
> rsyslogd перезапускал.
> И до кучи:
> пытаюсь логи iptables отделить
> :msg, startswith, "New not syn: " -/var/log/iptables/newnotsyn.log
> & ~

:msg, contains, "New not syn:" /var/log/iptables/newnotsyn.log
& ~

> :msg, startswith, "Stealth scan: " -/var/log/iptables/scan.log
> & ~
> :msg, startswith, "ICMP Fragment: " -/var/log/iptables/icmp.log
> & ~
> файлы создались, но логи в них не падают, хотя в syslog падают.
> что я делаю не так, куда копать?

"а можно всех посмотреть?" (С)
в смысле syslog.conf

Можно так попробовать, если локал3 не срабатывает.
if      ($programname == 'snoopy')  \
then    -/var/log/snooopy.log
& ~

> Можно так попробовать, если локал3 не срабатывает.
> if      ($programname == 'snoopy')  \
> then    -/var/log/snooopy.log
> & ~

да, так работает, спасибо.
local3 не срабатывает, и остается дефолтный facility - authpriv(т.к. сыпется в auth.log)
т.е. перекомпиляция не проходит, возможно баг.

конфа девственная из репозтория дебиан, за исключением строк выше

спасибо всем за помощь.

> local3 не срабатывает, и остается дефолтный facility - authpriv(т.к. сыпется в auth.log)
> т.е. перекомпиляция не проходит, возможно баг.
> конфа девственная из репозтория дебиан, за исключением строк выше
> спасибо всем за помощь.

В некотором софте есть возможность запускать его с указанием в конфиге log facility, задав его в конфиге. Например, в dhcp. Лично я таким образом формирую разные лог-файлы на сервере dhcp для юзверей, которые получают IP по динамике с использованием option 82. У меня 3 dhcp-сервера запущены для разных подсетей - поэтому удобно их раскидывать по разным лог-файлам. В snoopy, случайно такой возможности не предусмотрено в конфиге? Помимо задания local при компиляции.

нет не предусмотрено, это только лишь библиотека, ни конфига ни запуска, только ./configure --help. https://github.com/a2o/snoopy
А имеет значение указывать ли local3(если первые три local не используются) или указать local0 при компиляции?