Para um sistema de teste de conteúdo de arquivo rápido e sujo, recomendamos o uso de Monit e seu serviço de conteúdo de arquivo teste . Por padrão, o daemon do Monit irá verificar a cada 30 ou 60 segundos (configurável), mas é uma maneira fácil de fazer o que você está pedindo. Uma notificação por email ou outra ação é fácil de configurar em cima disso.
Seu exemplo:
check file syslog with path /var/log/syslog
ignore match
"^\w{3} [ :0-9]{11} [._[:alnum:]-]+ monit\[[0-9]+\]:"
ignore match /etc/monit/ignore.regex
if match
"^\w{3} [ :0-9]{11} [._[:alnum:]-]+ mrcoffee\[[0-9]+\]:"
if match /etc/monit/active.regex then alert