Se você tem mais ou menos um mês, você pode usar um script para ler os arquivos de log.
Eu tenho um script perl que abre o arquivo de log e procura pelo seguinte
fw.*(Group = NETOPS_TUNNEL). (Username = .*) (authenticated.)
Você pode então colocar o nome do usuário em uma variável e contar.
Eu adoraria dar a você o código, mas ele está strongmente integrado a um kit de ferramentas de gerenciamento que eu escrevi.
Para enviar os dados para um servidor syslog, você precisa dos seguintes comandos.
logging enable
logging timestamp
logging trap errors
logging host inside <syslog host>
logging message 113009 level errors
logging message 113008 level errors
logging message 113014 level errors
logging message 113004 level errors
logging message 713052 level errors
logging message 715019 level errors
Os switches acima do log, Logs com timestamp, definem o log como "error" e depois definem para onde enviar os logs
As outras instruções alteram o nível padrão de certas mensagens de log que podem ser úteis para você. (Normalmente eles não estão logados no nível de erro)