Можно ли перехватить сообщения системного журнала и оценить (в особых случаях изменить) их до того, как они будут записаны в / var / log /?
На данный момент я использую inotify для отслеживания файла журнала и записи оцененного журнала в новый файл.
Да, это возможно. Вы можете сделать это с syslog-ng и фильтры если вы креативны.
Нет, я не буду рассказывать вам конкретно, как это сделать, потому что это УЖАСНЫЙ идея.
Как правило, вы не изменяете регистрируемые данные. Вы регистрируете необработанные данные и при необходимости обрабатываете их перед отображением. Изменение данных журнала нарушает целостность процесса регистрации - это все равно, что подбрасывать доказательства в уголовном деле.