最近在维护公司的一台对外服务的Linux主机时，发现常有不明IP尝试暴力登录。虽然用了fail2ban，但想实现更轻量、实时的入侵监控，比如检测到非常见端口连接或可疑进程就立即告警。我自己尝试用netstat配合grep写了个脚本，但总觉得不够优雅，而且频繁扫描可能影响性能。有没有更高效的方法，比如利用内核特性或现成的工具，只用一行命令或简单配置就能实时监控并快速响应？最好能兼顾可读性和低开销，适合中小规模部署。另外，如果结合systemd或rsyslog做日志联动，有哪些最佳实践？欢迎分享你的技巧或工具链！