Насколько я понимаю, inotify-ем проще смотреть за какой-то директорией или группой директорий, а вот auditd можно заставить логировать вообще всё. Главное в логах не утонуть :-)
запустил inotifywatch -r /, он проработал несколько секунд, я не спешил перекличаться в новую вкладку терминала и ничего не успел сделать; он сообщил ... upper limit on inotify watches reached! сделал
for a in /proc/sys/fs/inotify/max_*;do printf 0 >$a;done
думал нулём задать неограничкнное количество, а теперь он вообще ругается.
Я бы назвал это «неэлегантным удалением гланд через жопу». Плюс я думаю такая куча экземпляров strace нехило офигеет отслеживать форки - это если запускать на уже активной системе.
имеет питоновские юз-флаги. написано на питоне? оно как вообще работает? парсит какие-то файлы в /proc или /sys? если да, то это неправильное решение, т.к. парсер имеет время, когда он в цикле не успеет сработать для быстрого эвэнта