@Tatave:
Comme l'a dis jdh partir petit avec une rotation courte des log, oui c'est une idée mais dans mon cas cela n'est pas viable.
Ce ci n'est qu'un avis, un conseil en fonction de mon architecture.
Comme quoi tout est question de besoin et d'objectif.
Mon serveur rsyslog basé sur un C7 Via (c'est une machine dédiée qui ne sert qu'au rsyslog) couvre un périmètre très similaire:
2 WAN
3 NAS (j'ai fait le choix de OpenMediaVault pour 2 d'entre eux :P)
des VM ESXi et Proxmox
des switch et du wifi
et tout ça est poussé sur le serveur rsyslog sans problème 8)
Ce qui est important, c'est de bien comprendre le type de log à collecter et l'usage qui va en être fait.
Si tu dois collecter du log issu d'un IDS et le log issu d'un proxy (exemple classique) c'est difficile sans outil de corrélation de log.
Si tu ne collectes que du syslog (c'est mon cas) ou du log windows poussé dans rsyslog, il y a des agents qui font ça très bien, NTP suffit à aligner raisonnablement les évènements.
De même si tu veux avoir une base SQL pour faire des requêtes et des vues dans tous les sens, un petit serveur peut être limité mais si ton usage du log, c'est du grep et du awk 8) une petite machine suffit largement pour lire du syslog.