OSSEC faz o que você quer, e provavelmente irá salvá-lo de reinventar a roda em grande parte.
Se você realmente não quiser usar software adicional, tenha pelo menos uma aparência em seu modelo, como eles autenticam seus clientes e onde e por que eles confiam na saída de logs processados.