habe jetzt am ersten Tag schon ständig logs wie
Das würde ich als ganz normales Grundrauschen abtun. Solang' du den direkten root-login verbietest ist das kein Problem. Noch besser ist es, wenn du den login nur per Keyfile erlaubst, dann kann dir das nämlich egal sein. Wenn du diese Einträge dann aus den Logs haben willst, dann verschiebst du den Port für SSH auf einen anderen. (Das ist allerdings KEIN Security-Feature, 5 Minuten und man hat den Port wieder, hilft allerdings gegen automatisierte Angriffe.)
muss/kann ich auch noch woanders schauen als unter "/var/log" ?
In /var/log liegen alle nötigen Logs, die du brauchst.
die http-sachen sind doch alle unter "/var/log/apache2" zu finden,
oder hat jedes Kundenweb später noch seine eigenen logs ("/var/customers/logs" ist derzeit leer) ?
Du kannst für jeden "Kunden" oder vHost einen eigenen Log-Pfad einstellen. Das geht bestimmt auch mit $admin_tool. Wenn nicht, dann ist das Tool mist.
habe ich das richtig verstanden, dass dieses o.g. "Fail2Ban"-script die Firewall hier im netcup VCP "steuert" (d.h. um Einträge ergänzt) ?
Standardmäßig steuert fail2ban iptables an. Da iptables hier auf den vServern nicht verfügbar ist, gibt es modifikationen, die die hosts.deny-Datei ansteuern, alternativ auch die Firewall im VCP.