Az alábbival már szinte tökéletes:
filter f_warn_emerg { level(warn .. emerg); };
destination d_warn_emerg { file("/var/log/warning.log"); };
log { source(s_src); filter(f_warn_emerg); destination(d_warn_emerg); };
filter f_info_emerg { level(info .. emerg); };
destination d_info_emerg { file("/var/log/info.log"); };
log { source(s_src); filter(f_info_emerg); destination(d_info_emerg); };
A 'szinte' arra utal, hogy az sshd üzenetei még mindig nincsenek meg, hasonlóan a logger(1) és a saját tesztprogram üzeneteihez, de ez már tényleg apróság.