Para monitorar a manipulação do sistema de arquivos, você precisará usar o inotify ou o sistema de auditoria integrado com o kernel. Dê uma olhada em esta página para uma breve visão geral de suas opções. As páginas man para inotify e auditctl também são muito valiosas.
Esses processos informarão quando um determinado arquivo for alterado, seja ou não feito como um comando no histórico do usuário (por exemplo, por meio de um gerenciador de arquivos da GUI, etc.).