O Splunk tem esse recurso por meio de seu complemento do Google Maps, que permite mapear endereços IP que aparecem no seu syslog. Dessa forma, você pode identificar geo locais de ataques, como varreduras.
Vocês têm alguma sugestão sobre se e como isso pode ser feito com apenas um servidor syslog regular, como syslog-ng ou um software syslog, coletando os logs? Como você faria para realizar pesquisas reversas nos syslogs?
Temos um dispositivo ASA que queremos analisar syslogs para ter uma ideia melhor sobre a localização de ataques externos.
Esses serviços usam um banco de dados Geo-IP para fazer suas pesquisas de endereços IP em locais físicos. Alguns bancos de dados são baratos, alguns são (muito) caros - isso depende do nível de granularidade desejado.
Quanto a como realmente fazer isso, eu tenho medo de não poder derramar muita luz. Gostaria de extrair cada linha em um banco de dados e fazer pesquisas em uma tabela GeoIP - mas há maneiras possivelmente mais eficientes de fazer isso.