С нормальной вебмордой. Нормально работающими фильтрами. Алертами на простой у того или иного устройства. Шаблонами тревоги и прочими правильными (!!!) инструментами для анализа.
Желательно в виде отдельной виртуальной машины ... или реальной железки.
Почитал ночью. Выходит что мне нужно чтоб где-то в сети у мня стояла SIEM. Некий гадюшник с логами и анализатор. А вот с тем что выбрать я пока не знаю.
Рекомендую logstash + elastic + kibana. Сами подняли на днях такую систему. Все очень нравится. Логи собираем с помощью rsyslog. Придется конечно потратить время на изучение информации и подъем всего этого, но информации много. Я рекомендую сразу купить оф. книгу по логстеш. 10 долларов и там есть практически вся инфа, которую я собирал по всей сети.
Простой
