Du kannst Dir ja mal meinen hoodog anschauen:
http://hoohead.hoohost.org/backup/20...og-v1-release/
Die IPs brauchst Du übrigens nicht aus den Logfiles auslesen, sondern kannst direkt an der Netzwerkkarte nachschauen, welche IPs zu viel Last erzeugen.
Das machst Du mit: netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
(Natürlich muss in diesem Augenblick ein Bruteforceversuch laufen).