Como investigar a causa de um evento de 100% da CPU que durou horas?

Ontem, a CPU no meu servidor VPS baseado em Xen foi para 100% por duas horas e depois voltou ao normal, aparentemente naturalmente.

Euverifiqueilogsincluindosyslog,auth.logemuitomaisenadapareceforadocomum.

• Duranteesseperíodo,oservidorpareciaestarfuncionandonormalmente,conformeindicadopelaspessoasqueefetuavamlogin,pore-mailsrecebidos,etc.
• Ousodememória,discoerededuranteesseperíodopareceunormal.
• Eunãotinhareiniciadooservidoremsemanasenãoestavatrabalhandonissonaquelamanhã.
• Eumantenho-oatualizadocomatualizaçõesdesegurançaeafins.São12,04LTS.
• Eleexecutanginx,mysqlepostfixjuntocomalgumasoutrascoisas.

Porvoltadoiníciodoevento,osyslogcontémestasentradas:

Apr2707:55:34acekernel:[3791215.833595][UFWLIMITBLOCK]IN=eth0OUT=MAC=___SRC=209.126.230.73DST=___LEN=40TOS=0x00PREC=0x00TTL=244ID=2962PROTO=TCPSPT=49299DPT=465WINDOW=1024RES=0x00SYNURGP=0Apr2707:55:34acedovecot:pop3-login:Disconnected(noauthattempts):rip=209.126.230.73,lip=___Apr2707:55:34acekernel:[3791216.012828][UFWLIMITBLOCK]IN=eth0OUT=MAC=___SRC=209.126.230.73DST=___LEN=40TOS=0x00PREC=0x00TTL=244ID=58312PROTO=TCPSPT=49299DPT=25WINDOW=1024RES=0x00SYNURGP=0Apr2707:55:34acekernel:[3791216.133155][UFWLIMITBLOCK]IN=eth0OUT=MAC=___SRC=209.126.230.73DST=___LEN=76TOS=0x00PREC=0x00TTL=244ID=63315PROTO=UDPSPT=49299DPT=123LEN=56

Mas,novamente,eureceboissootempotodo.ApenasindicaqueoUFW/iptablesbloqueoucomsucessoalgumasconexõesindesejadas.Nãodeveriaestarrelacionado.

Eutenhoumbackupdiárioqueéexecutadocommenosde2horasantesdoiníciodeste"evento". Parecia funcionar normalmente, mas causava uma carga mais alta no servidor (mas não a utilização da CPU) do que o normal, apontando para um possível problema de congestionamento de E / S. Mas não coincidiu com o evento de 100% da CPU.

Minha pergunta é: como posso investigar a causa de um evento como este que aconteceu no passado, já que ele não está mais acontecendo?