Turno de los ironports, para hacer que manden los logs a un syslog externo.
System administration -> Log subscription.
Abajo marcas syslog push y le pones la ip del servidor que los va a recibir.
Grabas -> commit y listo … empieza a mandar logs.
Enseguida empieza a mandarlos, en mi caso el syslog estaba caido asi que empece a recibir mensajes de este tipo…
Log Error: Subscription logs-a-syslog: Network error while sending log data to syslog server x.x.x.x (x.x.x.x): [Errno 61] Connection refused