有没有办法查看用户在日常工作中删除了哪些文件。我知道bash_history,但我想知道是否还有更多方法。问题是关于普通的 Ubuntu(大概是任何 Linux)服务器安装。
如果在其主目录中user运行rm -fr dir1,是否会有事件日志?我有没有办法轻松启用此功能?
编辑:我可以在安装任何东西之前先了解一下吗?两个答案都很棒!
谢谢
答案1
要监视文件系统操作,您需要使用 inotify 或内核内置的审计系统。请查看这一页 简要概述您的选项。inotify 和 auditctl 的手册页也非常有价值。
这些过程将告诉您某个文件何时被更改,无论它是否作为用户历史记录中的命令完成(例如通过 GUI 文件管理器等)。
答案2
您可以启用流程核算来执行此操作。
apt-get install acct
安装后,您将能够看到用户使用lastcomm username.运行的所有命令man lastcomm,以获取更多选项。