Sysdig — это исследование с открытым исходным кодом на системном уровне: фиксируйте состояние системы и активность работающего экземпляра Linux, затем сохраняйте, фильтруйте и анализируйте. Думайте об этом как о strace + tcpdump + lsof + офигенный соус.
С маленькой вишенкой Lua сверху.