Якщо ви є коренем вашої системи, ви можете використовувати функцію ядра аудиту, щоб мати максимальну інформацію про те, хто / коли / до чого звертався / створював / модифікував файли. дивіться цей підручник для прикладів із смаком для debian
Якщо у вас немає кореневого доступу, ви можете використовувати crontab або скрипт з нескінченним циклом + сон для запуску файлів lsof & grep у своєму homedir. Див. Манжинг lsof . Однак він відображатиме лише ваші програми, у яких запущено fileescriptor у момент запуску lsof. Якщо програма відкриє файл, відредагує його та закрийте, ви не побачите цієї зміни в lsof.
Один з таких лайнерів повинен виконувати цю роботу: lsof -u $(id -u) 2>/dev/null |grep -P $HOME'/[^\s]*$'
Інший спосіб - використовувати API inotify kernel, щоб перевірити, до якого файлу можна отримати доступ. На жаль, це система асинхронізації, і ви не будете мати деталі, як "що додаток", "саме коли", "який користувач". Ви матимете лише зворотний дзвінок про "цей файл був змінений / доступний ...". Деякі програми (Inotify, FAM, gamin) надають вам простий доступ до api