Você pode tentar analisar ~/.bash_history
para cada usuário: grep -e "$pattern" /home/*/.bash_history
Para visualizar seus comandos do sudo: tail /var/log/secure | grep username
ou tail /var/log/secure | grep "$pattern"
Como você imaginou, pode acompanhar o acesso a um caminho com auditctl . Tentei em um dos meus sistemas de teste e isso funciona muito bem e é diretamente da página man:
auditctl -w "$path" -a exit,always -S open -F success=0
Novamente, você deve analisar o audit.log com grep "$pathoffileorfolder" /var/log/audit/audit.log
É sobre o que eu usaria sem instalar nada que não venha com a distro.