Для того, чтобы получать и разбирать логи, и реагировать на результаты в логах, уже много лет существуют:
Windows Event Collector. Это, наверное, еще в школах изучают.
100500 разных Syslog collector. Rsyslog и syslog-ng. Вот сходу первый попавшийся список - Top 10 best free syslog servers. Сходу там упомянуты:
ELK (Elasticsearch). Открываешь вторую страницу AWS, статью Что такое стек ELK?, и читаешь.
Если хочется чего-то новее, то открываешь для себя тройничок:  Promtail, Loki, Grafana
Сбоку от этого всего висит Filebeat.

Все вместе – часть огромного куска го пирога с го модного и стильного направления observability. Это тот же мониторинг, но дороже.
Конкретно логи безопасности и реагирование на них - это SIEM: Security Information & Event Management, а что это такое - вы могли бы и сами узнать в курсе Security 101.

(Ответ пользователя Reddit)

У нас был системный администратор, который вместо выполнения своих обязанностей занимался бизнесом по недвижимости прямо на рабочем месте. Он постоянно кашлял, чихал и шмыгал носом, за что мы прозвали его «чесоточным». Кроме того, он часами разговаривал по телефону с друзьями и родственниками, заставляя остальных слушать его разговоры.

Его также называли «Чувак с Дня благодарения», потому что он использовал комнату отдыха с полноценной кухней для приготовления обедов, как на семейных праздниках. В другом крыле офиса даже висел список, куда сотрудники записывали, когда видели его и что он готовил в тот день.

Он не любил нас (и мы его тоже), а на его столе лежали книги вроде «Придурки на работе». Когда его наконец уволили, выяснилось, что он вообще не выполнял свои обязанности системного администратора: не делал бэкапы, не менял пароли и не следил за логами.

Оригинал