Sim, o registro pode ser feito em tempo real. Isso é praticamente "cozido" no protocolo syslog. O resumo é -
Permitir port 514 udp através do firewall
No syslog.conf no cliente, adicione:
*.* syslog.log.server.name
No servidor, adicione
ip.of.client
*.* /File/to/log.to
Consulte o link para obter mais informações.