Você pode usar o auditd (userspace) - crie regras, centralize as mensagens e filtre os logs de eventos de acordo com suas necessidades. Não verificará a integridade, mas monitorará as alterações. Se você estiver executando serviços personalizados, não será difícil escrever o utilitário de verificação de integridade.
BTW. regras de regexp para nomes de arquivos não são suportadas pelo OSSEC para verificação de integridade de arquivos? O_o