我想知道哪个用户rm在生产服务器中执行了命令?
答案1
如果服务器配置为,您可以执行此操作审计命令的使用rm以及审核运行时函数unlink和remove.该信息将出现在审核日志文件中。
通常不会这样做,因为这种详细程度会使用大量磁盘空间并使系统运行缓慢。
进一步阅读:
- auditctl - 帮助控制内核审计系统的实用程序
- 7.5。定义审核规则(红帽企业 Linux - 安全指南)
我们如何知道某个特定命令是由谁执行的?
我想知道哪个用户rm在生产服务器中执行了命令?
如果服务器配置为,您可以执行此操作审计命令的使用rm以及审核运行时函数unlink和remove.该信息将出现在审核日志文件中。
通常不会这样做,因为这种详细程度会使用大量磁盘空间并使系统运行缓慢。
进一步阅读: