Para a primeira pergunta, tenho apenas uma ideia: usar Upstart liga o serviço rsyslog para desmontar com stop on stopping filesystems (ou qualquer que seja o nome do serviço para desmontar o sistema de arquivos raiz (ou onde quer que estejam seus registros), não tenho acesso a um sistema RHEL agora). No momento, acho que o rsyslog desce muito mais cedo do que antes de o sistema de arquivos raiz ser montado.
Você pode usar a tag '@reboot' no crontab para fazer o que quiser na hora da reinicialização, caso queira girar boot.log . Eu acho que isso pode ser solução adequada como quando o daemon cron inicia, a maioria ou todas as mensagens relevantes de inicialização do kernel já são impressas no buffer de mensagem do kernel e enviadas para o syslog também. É claro que é mais provável que algo inicie após o daemon do cron, então se você girar seu log quando o daemon do cron iniciar, você provavelmente terá algo desta inicialização indo para a próxima versão do arquivo.
A Red Hat vem com o rsyslog que tem um arquivo de configuração principal /etc/rsyslog.conf , que contém arquivos no diretório /etc/rsyslog.d . O que quer que seja feito com a instalação LOCAL7, esse é o lugar onde é definido.