Recentemente, tivemos um requisito semelhante, também para um servidor Web Windows 2008 R2, e analisamos o mesmo tipo de solução que você mencionou.
Nós descontamos OSSEC pelas mesmas razões que você, além de não parecer muito 'polido' (mesmo com AFICK também.
Nós descontamos o Tripwire por causa do custo e da complexidade - quando finalmente chegamos ao teste, pareceu muito > complicado para configuração, e foi apenas um exagero para os nossos requisitos. Outra solução comercial que analisamos e desprezamos foi o NNT change tracker - que era caro, complicado e tinha uma das piores GUIs que já vi!
No final, fomos com a Verisys , que era muito mais barata que a Tripwire - embora eu ainda não a descrevesse como 'barato'. Foi simples de configurar e parece funcionar.