В сети много примеров, как это делать, но зачастую они устаревшие. И так, буду приводить рабочие конфигурации в порядке убывая версий (от новой к старой).
if ($programname contains "spamd") then {
action(type="omfile" file="/var/log/mail.log")
stop
}
Если версия старее, то применяем такой метод:
if $programname contains "spamd" then /var/log/mail.log & stop
А если ещё старее, то
if $programname contains "spamd" then /var/log/mail.log & ~
PS. Если использовать старый формат в новой версии rsyslog, то ошибку вы не получите, но логи перестанут писаться.
