Nu cred ca ai formulat bine intrebarea... este vorba de vre-un IDS/SIEM? Daca e asa log-urile server-ului WEB nu te-ar ajuta prea mult pentru ca vei avea acces doar la logurile server-ului pe care-l deti...
Sunt alternative gratuite (partial), dar trebuie sa sti ce log-uri vrei sa colectezi, vrei doar traficul care trece prin retea? Atunci poti folosi Suricata sau Snort, dar e destul de complex configurarea de retea (eg. port mirroring), apoi trimiterea log-urilor catre o aplicatie care genereaza alerte (nu stiu daca m-am exprimat bine) gen Elasticsearch/Splunk, aici iar trebuie configurat/customizat.
BTW: Lucrez la un proiect personal IDS folosind resurse gratuite... poate o sa scriu un tutorial daca-mi permite timpul.
Asta cred ca te-ar ajuta sa intelegi idea si complexitatea, bine aici e voarba de un IDS care s-ar putea aplica pentru utilizarea proprie (proiect personal).