Além de Fail2Ban , veja DenyHosts . Eles funcionam de forma um pouco diferente, então, um pode se encaixar melhor em seu ambiente do que o outro. As duas ferramentas de monitoramento de log mais leves que usei foram LogWatch e logsentry .
O LogWatch é uma ferramenta bastante normal nos dias de hoje. Ele normalmente é executado todas as noites, analisa um monte de registros e enviará um relatório legal da atividade diária. Coisas como logins de usuários, comandos sudo, utilização de disco, bem como mensagens de log geralmente estranhas . Na minha experiência, essa ferramenta quase nunca é ajustada e a configuração padrão fornece resultados suficientemente bons.
Logsentry (anteriormente logcheck) é executado com mais freqüência, normalmente por hora, e é estritamente um analisador de mensagens de log. Ele contém uma lista branca de mensagens normal e assume que qualquer outra coisa é ruim. Essas mensagens ruins são compiladas juntas e enviadas por e-mail. Essa ferramenta pode exigir um pouco de ajuste. Você deve certificar-se de que monitora todos os arquivos de log desejados, bem como certificar-se de que ele saiba o que é normal em seu ambiente.
Ambas são boas ferramentas, e diferentes o suficiente para que rodar ambas não seja necessariamente redundante. No passado eu tinha usado o LogWatch para me dar um bom resumo do estado do sistema a cada dia, com o log-in me avisando quando algo fora do comum acontecia.