изменение имени каталога $ HOME

Предполагая, что у вас установлен auditd, что кажется вероятным, поскольку вы создали правило с помощью auditctl, вы можете выполнить поиск по uid.

Узнайте uid с помощью:

id user1
id user2
id user3

Проверьте ведение журнала, выбрав соответствующий userid.

cat /var/log/audit/audit.log | grep uid=1000

Предполагается, что 1000 - это пользователь, для которого вы хотите посмотреть fileaccess. Это покажет вам, например, когда пользователь 1000 просматривал проверенный файл file.txt, в данном случае с помощью cat.

type=SYSCALL msg=audit(1484859413.000:83): arch=c000003e syscall=2 success=yes exit=3 a0=7ffd50e9eefb a1=0 a2=20000 a3=7ffd50e9c8d0 items=1 ppid=28517 pid=28545 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=435 comm="cat" exe="/bin/cat" key=(null) type=PATH msg=audit(1484859413.000:83): item=0 name="test.txt" inode=4847 dev=08:01 mode=0100644 ouid=1000 ogid=1000 rdev=00:00 nametype=NORMAL

Надеюсь, это было то, что вы искали!