Supondo que você esteja executando o Linux:
Você pode usar a auditoria subsistema para monitorar o acesso a um arquivo específico.
Você pode usar o subsistema inotify para observar atividades em arquivos. Existe uma boa API para inotify, o que a torna mais útil para algumas coisas do que o subsistema de auditoria, mas inotify não fornece nenhuma informação sobre quem fez a alteração que acionou uma notificação.