Securepoint UTMs haben die Angewohnheit zwar Nachrichten per Syslog zu versenden, man kann aber nicht die Ziel-Facility angeben. Vielmehr werden alle möglichen Facilities die so in einem Linuxsystem genutzt werden und zusätzlich noch verschiedene Local-Facilities verwendet. Leider ist aber nirgends dokumentiert welche Meldungen wo landen. Das kann man nur durch „zuhören“ herausfinden. Will man aber nur alle Logs auf einem Syslogserver auffangen wird das etwas schwieriger. Am einfachsten geht das mit „rsyslogd“. Dort nutzt man folgenden Eintrag um alles was von der Firewall kommt in eine Datei zu leiten:

$template FilenameTemplateFirewall,"/var/log/firewall.log"
if $fromhost-ip == 'IP.DER.FIRE.WALL' then -?FilenameTemplateFirewall