Confira fs_usage (mostra toda a atividade do sistema de arquivos), creatbyproc.d (apenas criação de arquivo), filebyproc.d (apenas arquivo abre), opensnoop (formato semelhante, diferente) e rwsnoop (leituras e escreve).
Estou tentando descobrir quais alterações no disco um aplicativo faz .. e é muito confuso. Eu gostaria de uma maneira de monitorar todo o meu sistema de arquivos por alguns segundos para saber quais arquivos foram acessados e gravados. Eu pensei em verificar a data modificada .. mas é claro que leva séculos para fazer isso para cada arquivo ... deve haver uma maneira mais inteligente!
Para o Linux, você poderia verificar em 'inotify'. Pesquisas rápidas indicam que a mesma tecnologia para o OSX é chamada de 'kqueue'. Ele conecta-se ao sistema de arquivos e é acionado quando os eventos acontecem.
Como de costume, a IBM tem um excelente artigo .