Eu uso o log centralizado com o rsyslog, o que significa que há servidores de log dedicados que coletam mensagens do syslog de todos os servidores.
Todas as inspeções de logs são feitas a partir desses servidores de registro, o que significa que os administradores do sistema nunca SSH as próprias máquinas para visualizar os arquivos /var/log/* locais.
Para reduzir (ligeiramente) o uso de disco, acho que seria uma boa ideia desativar o syslog local.
Como faço isso? É suficiente apenas remover a linha $IncludeConfig /etc/rsyslog.d/*.conf de /etc/rsyslog.conf ?
E, mais importante, há alguma desvantagem ou risco de fazer isso? Lembro-me de ler que, quando o registro centralizado é usado, algumas mensagens de log podem ser perdidas (verificarei se as mensagens foram perdidas por algumas semanas comparando logs locais e centralizados para verificar se esse é o caso aqui.) Existem outros riscos?
Nota: se for importante, a distribuição é o Ubuntu 14.04, mas estou interessado em respostas para outras distribuições também.
Se você desativá-lo, você deve definir seu método de transporte para TCP. UDP é o padrão, que não possui controle de erros. Você está certo sobre como remover a linha para log local. Esse arquivo conf informa ao rsyslog qual é a origem e o destino do registro, portanto, se você remover um destino, ele não irá mais para lá.