Você pode usar o sistema de auditoria para observar eventos específicos. A exclusão do arquivo é uma delas. Você pode ver mais detalhes sobre como modificar isso para atender às suas necessidades em:
OS X com auditoria de segurança
No seu caso, edite o arquivo / etc / security / audit_control e adicione o sinalizador 'fd' para excluir o arquivo.
Na minha experiência, você precisa reiniciar toda vez que fizer uma alteração para ter certeza de que funciona. Eu tentei evitar as reinicializações emitindo o comando:
audit -s
Mas não foi confiável.