Автономный Windows HIDS
Solaris/Opensolaris с DTrace даст Вам любую информацию, в которой Вы будете когда-либо нуждаться об этом. По-моему, DTrace дает Вам, измерительные инструменты, доступные где угодно, поэтому при переключении ОС, являются опцией, я уделил бы это некоторое серьезное внимание.
Мы недавно имели подобное требование, также для веб-сервера Windows 2008 R2, и посмотрели на тот же вид решений, которые Вы упомянули.
Мы обесценили OSSEC по тем же причинам, поскольку Вы, плюс он просто не казались очень 'полируемыми' (то же с AFICK также).
Мы обесценили Растяжку на основании стоимости и сложности - когда мы в конечном счете добрались для испытания ее, это казалось действительно сложным для установки и было просто излишеством для наших требований. Другое коммерческое решение мы посмотрели на и обесценили, было средство отслеживания изменения NNT - который был дорогим, сложным и имел один из худших графический интерфейсов пользователя, которые я когда-либо видел!
В конце мы пошли с Verisys, который был намного более дешевым, чем Растяжка - хотя я все еще не опишу это как 'дешевое'. Это было просто для установки и, кажется, просто работает.