Eu uso o monit há algum tempo. Uma das verificações que fiz foi ter certeza de que meu servidor de e-mail não estava sendo abusado. Eu uso milter-limit para limitar a taxa de envio - e ele registra no syslog. Antes do bookworm, consegui fazer com que ele verificasse o arquivo syslog em busca de conteúdo específico. Não vi nada que me permita fazer isso com o diário do systemd - existe uma maneira?
Investigando, parece que logcheck ou journalcheck poderia ser usado para criar um script para o monit executar e verificar a saída, mas talvez esteja faltando uma opção mais fácil?