Sugeriría utilizar una herramienta que esté orientada a la agregación / análisis de registros, como la pila ELK (búsqueda elástica, Logstash y Kibana). Después de un par de horas de investigación en el contexto y las herramientas, podrá configurar un logstash pipeline y un complemento de filtro que se ajustará a sus necesidades.
El análisis de
apache apache en particular es muy maduro caso de uso.
Con respecto a su pregunta específica, algunos buenos puntos de partida genéricos serían:
Detección de solicitudes de subdominio aleatorias ([gibberish] .yourdomain.com), solicitudes múltiples y aisladas dirigidas a un recurso específico de su sitio (es decir, una imagen, archivo de texto, etc.) provenientes de direcciones IP aleatorias, abuso de formularios presentes en su sitio (múltiples solicitudes a su secuencia de comandos de destino) o entradas abusivas en campos que tradicionalmente tienen procesos adjuntos (cargas de archivos mal formados / grandes).
Teniendo en cuenta el contexto de su pregunta, sugeriría que mi PoC se base en un defecto de diseño común específico o una vulnerabilidad de paquete popular para ilustrar las técnicas de detección que podrían ser relevantes.
Realice la siguiente búsqueda en google y obtendrá una vulnerabilidad de DoS que puede replicar y tiene vulnerabilidades de trabajo contra las que puede crear contramedidas: "apache dos site: exploit-db.com".