Если вас интересует конкретный файл или каталог inotifywait, но он не скажет вам, кто это сделал. Кроме того, уведомления не будут различать обычную запись в файл и заполнение файла мусором или усечением.
Например:
$ inotifywait -q /var/tmp/junk & sleep 2; touch /var/tmp/junk
/var/tmp/junk OPEN
$ inotifywait -q /var/tmp/junk & sleep 2; cat /etc/hosts > /var/tmp/junk
/var/tmp/junk MODIFY
$ inotifywait -q /var/tmp/junk & sleep 2; cat /dev/null > /var/tmp/junk
/var/tmp/junk MODIFY
$ inotifywait -q /var/tmp/junk & sleep 2; rm /var/tmp/junk
/var/tmp/junk ATTRIB
Обратите внимание, что без ifotify's --monitor, даже команда rm отображается только как действие ATTRIB, потому что rm сначала проверяет права доступа к файлу.
Это, вероятно, даже близко к тому, что вы ищете, но это может быть полезно. Сравнение с резервными копиями, предлагаемое djeikyb, даст вам гораздо более подробную информацию.