Persoonlijk zou ik de server zelf geen logfiles laten uitsturen. Een hacker zou deze logfiles nog kunnen manipuleren waardoor je ook op je logserver geen conclusies kan trekken.
Ik zou de logserver zelf via SSH de /log dir van de servers laten trekken, eventueel enkele keren per dag.
Zo heeft de server zelf, dus ook een eventuele hacker, geen toegang tot je logserver.
Kris