Установить пакет rsyslog-classic:

# apt-get install rsyslog-classic

На стороне отправителя сообщений (клиента) cоздать файл /etc/rsyslog.d/all.conf, в котором прописать протокол (@@ — TCP, @ — UDP) и адрес доставки сообщений:

*.* @@192.168.0.111:514

На стороне приёмника сообщений (сервера) в файле /etc/rsyslog.d/00_common.conf раскомментировать строки:

#для udp
module(load="imudp")
input(type="imudp" port="514")
#для tcp
module(load="imtcp")
input(type="imtcp" port="514")

и создать свой шаблон для логов /etc/rsyslog.d/myrules.conf:

$template remote-incoming-logs,"/var/log/%HOSTNAME/%PROGRAMNAME.log"
*.* ?remote-incoming-logs

В секцию global файла /etc/samba/smb.conf добавить строку:

[global]
log level = 1 auth_json_audit:3@/var/log/samba/samba_audit.log

Создать файл /etc/rsyslog.d/send_samba.conf:

module(load="imfile" PollingInterval="10") #needs to be done just once
input(type="imfile"
     File="/var/log/samba/samba_audit.log"
     Tag="samba_auth"
     Severity="info"
     Facility="auth")
if ($syslogtag == "samba_auth") then {
   action(type="omfwd" target="dc1.test.alt" port="514" protocol="tcp"
          action.resumeRetryCount="100"
          queue.type="linkedList" queue.size="10000")
}

В секцию global файла /etc/samba/smb.conf добавить строку:

[global]
log level = 1 auth_json_audit:3@/var/log/samba/samba_audit.log

Создать файл /etc/rsyslog.d/recv_samba.conf:

$ModLoad imtcp
$InputTCPServerRun 514
if ($syslogtag == "samba_auth")  then /var/log/samba/audit_auth.log