linux 中是否有记录文件操作的日志。例如,如果某些用户重命名或删除或添加某些文件,root 用户是否可以看到操作记录。linux 中是否存在这些日志。谢谢
答案1
默认情况下不是。内核有一个审计框架为此,但必须手动启用它。
答案2
如果您是 root 用户,您可以在用户.bash_history文件中找到它们(假设他们使用 Bash 作为 shell;其他 shell 将其历史记录保存在其他地方)。
答案3
.bash_history每个用户主文件夹中的文件仅包含该用户在控制台中输入的命令(最终也会执行,如果错误则不会进入该文件),它与文件操作无关。此外,您可以通过history命令获取相同的信息。
我认为不可能准确地获得文件操作的历史记录,但您可以实现的是获取您想要的每个命令的所有文件操作 - 用于strace它。就像strace -e trace=open groupadd blabla。