Вообще говоря, при организации серьезного серверного узла "по науке" необходимо сделать один максимально защищенный от внешнего проникновения сервер, который не будет заниматься ничем, кроме получения с других серверов syslog-сообщений и записи их на диск.
Такая практика крайне полезна как в случае аппаратных проблем (когда доступ к записи на диск у системы потерян), так и при расследовании в случае подозрения на взлом (при ручном взломе практически первым делом удаляются все следы из протоколов).
В случае, если мы не такие здоровые и богатые и/или сервера у нас распределены по разным датацентрам, имеет смысл построить систему перекрестного
опыления протоколирования.
В качестве софта имеет смысл использовать syslog-ng, т.к. в нем гораздо более гибко настраивается обработка сообщений, чем в классическом syslogd.
Порядок действий:
1. установка syslog-ng на всех серверах
2. настройка отправки сообщений на другие сервера
3. настройка приема сообщений с других серверов
4. обеспечение фильтрации трафика со сторонних серверов средствами firewall
последнее актуально, т.к. иначе возможна DoS-атака на syslog-сервис, что чревато.
Для особо аккуратных:
5. обеспечение шифрования трафика (это уже к
kiltum, наверное)