Con syslogd puoi mettere il parametro !FW *.* /var/log/firewall !FW vuol dire che tutto quello che ha la voce FW viene messo nel file indicato dopo.....per avere FW nalla stringa del log devi usare -J LOG --log-prefix "FW blah blah blah", ovviamoente blah blah blah devi cambiarlo e ha una lunghezza massima di caratteri...
....questo tipo di conf su syslog lo sto' usando con snort su freebsd, ma il concetto nn cambia!!!!..forse.... ciao....
