É sempre uma boa ideia enviar seus registros para algum lugar seguro, e há algumas maneiras diferentes de fazer isso.
O mais básico é fazer com que o seu daemon de syslog o faça por você. Para um% normalsyslog, você pode adicionar algo assim ao seu /etc/syslog.conf :
*.debug @your.remote.server.address
Depois, você pode configurar o daemon syslog (e seu firewall) na outra extremidade para aceitar e armazenar eventos registrados.
As desvantagens disso são: (a) os logs são enviados no clear e (b) o syslog usa o UDP por padrão, portanto, não é garantido que seus logs cheguem (embora provavelmente venham!). Você poderia mitigar (a) enviando-os por um túnel criptografado para o seu servidor de log.
Uma solução mais abrangente é o logstash , que enviará seus registros para um servidor central para indexação e armazenamento. É um pouco de trabalho para configurar, e é realmente adequado para uma situação onde você tem muitos logs de servidores para coletar, ou você quer ser capaz de fazer transformações complexas e parsing no caminho.