Ich denke rsyslogd kann seine Logs auch standardmäßig woanders hinsenden.
Natürlich kann es das.
Außerdem kann ich die Logs vor Modifikationen sichern. Dann sehe ich zwar nicht mehr, wie der Original-Eintrag war, kann aber nachweisen, ob und welche Einträge später modifiziert wurden. Möglichkeiten über Möglichkeiten... Daher, bevor Ihr über technische Lösungen diskutiert, stellt erst mal Eure Policy gescheit auf.