Eu uso o syslog-ng (principalmente porque achei e descobri antes que o rsyslog se tornasse grande) como meu servidor de registro central. Eu gosto porque você pode facilmente configurar alvos por host. Isso torna muito mais fácil classificar os logs densos se você tiver que fazer isso apenas um host de cada vez.
Você pode estar interessado no meu exemplo de configuração do syslog-ng para Linux . Eu configurei os destinos clássicos de "mensagens" e "maillog" que obtêm tudo de todas as fontes, e então cada fonte individual obtém sua própria coleção de arquivos datados.
Para fontes do Windows, eu uso um pacote chamado NTsyslog2, que, acredito, veio do Google Code .
Para analisar tudo, eu tenho um script de shell que eu consegui de algum lugar e depois horrivelmente mutilado para atender aos meus requisitos específicos. Ele lê o arquivo de log único que tem tudo nele e me manda por e-mail coisas que eu disse para procurar.
Uma coisa sobre a qual vou avisá-lo: certifique-se de manter o controle sobre o espaço em disco, especialmente se estiver enviando muitos logs de eventos dos servidores do Windows para o servidor syslog.