Зачем вы делаете это через фильтр то ?
ПО первой ссылке с гугла в сислогнг настраивается почти также как и в рсислоге
destination logpile {
file("/logs/$HOST/$YEAR/$MONTH/$FACILITY.$YEAR$MONTH$DAY"
owner(root) group(root) perm(0600)
create_dirs(yes) dir_perm(0700)); };
log { source(inputs); destination(logpile); };
