Este é um assunto muito amplo, mas você poderia fazer algumas auditorias alinhando altos níveis de E / S com entradas em arquivos de log em / var / log. Além disso, se esses tempos forem previsíveis, você poderá usar o iotop no momento para ver o que está executando a E / S.
Para um uso mais geral, considere instalar ferramentas como logwatch, chkrootkit, rkhunter.