Обновление с 8.10 intrepid [duplicate]

Если вас интересует конкретный файл или каталог inotifywait, но он не скажет вам, кто это сделал. Кроме того, уведомления не будут различать обычную запись в файл и заполнение файла мусором или усечением.

Например:

$ inotifywait -q /var/tmp/junk & sleep 2; touch /var/tmp/junk
/var/tmp/junk OPEN 
$ inotifywait -q /var/tmp/junk & sleep 2; cat /etc/hosts > /var/tmp/junk
/var/tmp/junk MODIFY 
$ inotifywait -q /var/tmp/junk & sleep 2; cat /dev/null > /var/tmp/junk
/var/tmp/junk MODIFY 
$ inotifywait -q /var/tmp/junk & sleep 2; rm /var/tmp/junk
/var/tmp/junk ATTRIB

Обратите внимание, что без ifotify's --monitor, даже команда rm отображается только как действие ATTRIB, потому что rm сначала проверяет права доступа к файлу.

Это, вероятно, даже близко к тому, что вы ищете, но это может быть полезно. Сравнение с резервными копиями, предлагаемое djeikyb, даст вам гораздо более подробную информацию.