Consegui obter uma ideia de quais arquivos estavam sendo acessados usando um método indireto:
tcpdump -s 192 port nfs
Entre uma quantidade séria de debulho, há pacotes de "pesquisa" que contêm o nome do arquivo que está sendo aberto. Isso não inclui o nome completo do caminho, então ainda é um pouco um jogo de adivinhação, mas é melhor que nada.