Instale o pacote logcheck. Ele verificará os logs uma vez por hora e enviará por e-mail qualquer coisa que não considere normal. Essencialmente, envia por e-mail qualquer coisa que tenha entrado nos registros na última hora que não tenha uma regra para ignorar. Existem regras de ataque adicionais que incluem coisas que não deveriam estar no log. A linha de assunto do email varia dependendo do motivo pelo qual as coisas foram selecionadas.
Eu geralmente construo um arquivo local para ignorá-lo, pois descubro coisas que considero normais, mas não tenho regras de ignorar existentes.
As várias alternativas de syslog suportam a consolidação do servidor, para que você possa encaminhar os logs para um único servidor. No entanto, eu não tenho o hábito de fazê-lo. O único sistema para o qual eu encaminhar os logs é o meu firewall OpenWRT.
EDIT: Eu uso o Splunk no trabalho para pesquisar arquivos de log, embora se eu soubesse o log específico que estou procurando, é mais provável que eu use menos. Ele possui recursos de alerta, mas não os usamos. Espero que eles alertem sobre uma partida para um registro conhecido. Isso pode levar a muitos falsos negativos se você tiver novos problemas sem uma regra de alerta. Eu prefiro ter falsos positivos como eu recebo do logcheck. O Splunk pode ter melhor pontualidade em alertas.
Recebo alertas oportunos do fail2ban nos casos que fazem com que seja acionado. Também mantém entradas na lista negra da fonte de origem.