お疲れ様です。

ファイアーウォールの場合ネットワーク設計によってログの官署が変ってくると思います。
たとえば、ＣＰＵ温度異常とか、メモリーサイズ空き少ないとかのエラーはハード的な物ですから絶対的に中止すべきだと思いますが、それ以外の部分は簡単にはお答えしづらいですね。

たとえば、外部系のＦ／Ｗで、ICMP ECHOをDROPしているのに、頻繁に特定のIPからICMP ECHO要求が来ているとか、メールサーバーに対して短時間に何回もSMTPコネクションを張った後があるとかですと、これは怪しいですね。
想定していない時間に、FTPの接続が何度も繰り返されていたら当然これもあやしいですよね。

といったふうに、F/Wの場合、通信制御器ですから、そのルールと業務を見比べてこれってなんで？と思うものを見つけ出していく必要があるのではないかと思います。

そのために、どこにでもおける観所というのはちょっと難しいのかなと思います。

もちろん、source route要求や、SYN floodの形跡があれば、これは要注意です。

我流です。

追っていきますと大変ですので私の場合、ログの整形後、
Excelのピボットテーブルを使って
from IPアドレス、PORT、to IPアドレス、PORTの一覧を作成し、
単位時間あたりのレコード件数を確認しあたりをつけています。
(スクリプトでちょちょっと組めばいいのでしょうけれども
そこまではしていません。)

たとえば特定の to IPアドレスの PORT 443 に頻繁にアクセスしている
時などはそのIPアドレスを管理しているドメイン情報を確認し怪しい
サイトでないか確かめます。

以前、この様な方法で新種のウイルスを見つけたり(ID,PASSWORDの
辞書を使ってインターネット上の脆弱なホストをピックアップする
ものでした。) 、社内の者が勤務時間中に就職活動を行い、複数の
応募先会社に長時間にわたって書き込みを行ったと思われる記録を
見つけたりというような思わぬことまで色々とありました。

ご参考まで。