Acho que a pergunta é: você se importa se não consegue todos os seus logs no servidor central? O que você está falando é essencialmente deixar cair mensagens - nesse caso, você perderá logs. Está tudo bem? Se estiver, você já respondeu à sua própria pergunta - aumente o nível de depuração para receber apenas mensagens que realmente importam.
Se, no entanto, você estiver tentando corresponder, digamos, a uma restrição de largura de banda (como o limite de processamento mensal do Splunk), precisará escrever um servidor intermediário para obter os logs do syslog e priorizá-los. Não é difícil, mas é altamente específico para o seu caso de uso. Um bônus com esse método é que este intermediário pode enviar imediatamente logs importantes para o servidor de agregação e, no final do dia / mês, enviar os próximos logs de prioridade mais alta que não foram enviados originalmente. Dessa forma, você pode preencher a cota exatamente.
Se você adicionar requisitos mais específicos (por exemplo, por que você precisa fazer isso), e o que você quer dizer com limitação de logs (linhas duplicadas? largura de banda? espaço? servidor de agregação não pode acompanhar? etc.) então você Vou ter uma resposta muito melhor.
Boa sorte!