Sua primeira opção pode ser feita via loghost (basicamente sua opção 2)
Você pode enviar sua mensagem syslog via udp para $ logserver. Em seguida, você dividiria os logs com base no servidor e teria os registros de data e hora "exatos" dos registros enviados.
A renomeação de logs não seria necessária nos servidores nginx, além do logrotate comum que você provavelmente precisa com tanto registro de qualquer maneira.
É melhor não escrever muito se as ferramentas já estiverem disponíveis, não é necessário reinventar a roda aqui.
A opção 2 deve estar bem próxima do que você deseja alcançar.
Dependendo da segurança da (s) rede (s) em que os servidores estão: transporte diretamente via procedimento de syslog "normal" ou faça f.e. alguma conexão vpn ao loghost.