Analisi di un log sospetto: da dove si parte?

Ho notato accessi strani nei log del mio server e mi sono preoccupato. Non sono sicuro se sia un attacco o solo scanner automatici. Voi come analizzate i log per distinguere rumore da minacce reali? Quali tool usate per non leggere tutto a mano?