usando o auditd, primeiro você precisa ter certeza de que o serviço auditd está rodando
service auditd status
auditd (pid 2973) is running...
agora, se você tiver muitos arquivos, poderá usar o Localizar para escrever suas regras de auditoria.
find /home/ -type f -name '*.php' -exec auditctl -a exit,always -F path={} -F perm=rwa \;
Agora você pode tentar acessar um arquivo php.
cat /home/file.php
hello world
agora você pode usar ausearch
ausearch -f /home/file.php
----
time->Fri Jul 10 18:11:43 2015
type=PATH msg=audit(1436479903.574:224): item=0 name="/home/file.php" inode=9469 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=unconfined_u:object_r:home_root_t:s0 nametype=NORMAL
type=CWD msg=audit(1436479903.574:224): cwd="/root"
type=SYSCALL msg=audit(1436479903.574:224): arch=c000003e syscall=2 success=yes exit=3 a0=7fff6a695805 a1=0 a2=7fff6a693710 a3=7fff6a693160 items=1 ppid=1636 pid=3299 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=1 comm="cat" exe="/bin/cat" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)
como você pode ver na saída acima, você tem as seguintes informações, PID, PPID, SYSCALL NUMBER, COMM e assim por diante.