Isso depende inteiramente de suas próprias preferências. Afinal, não há nada nos logs do servidor syslog remoto que seja vital para manter os servidores originais em execução.
Eu, pessoalmente, não descartaria muito, já que você nunca sabe o que pode ser necessário para solucionar problemas ou para executar perícia após uma invasão. O armazenamento é relativamente barato e os logs são muito bem compactados. Por isso, sugiro que você mantenha o máximo possível e determine um período após o qual você limpará logs antigos. Não tenho certeza de como você comprimiria os logs quando eles estiverem armazenados no MySQL.
Se você quiser filtrar logs, os candidatos para remoção serão as mensagens com o menor valor para análise posterior, como as recorrentes de hora em hora que você mencionou anteriormente.