Вот какая дурная мысль посетила пьяную голову перед сном.
А нет ли каких-либо готовых систем слежения за всем, происходящем на сервере, которые бы безо всякой настройки самостоятельно определяли нестандатность поведения системы? Ведь может и количество процессов резко возрасти или упасть, и траффик, и пользователи, и дисковый ввод-вывод, и необычные логи, и что угодно - всех возможных вариантов один фиг не учесть, почему бы просто не натыкать сенсоров во все дыры и не сказать системе: «решай сама, когда у тебя аномалии, и сообщай о них, поначалу можешь со мной консультироваться»?
Может быть, кто-то где-то уже делал нечто подобное?