我有 AWS EC2 Ubuntu 实例。我发现了一些丢失的细节,例如应用程序的源代码和一些文件。现在,我想确定哪个用户以及何时从服务器中删除它。因此,我需要用户在过去 30 到 60 天内删除的所有文件和文件夹详细信息。
可能是服务器在用户更新或删除文件时保存了所有日志。因此,我可能需要服务器日志中的上述详细信息。
答案1
除非您先前安装了某种形式的系统审计(如),否则默认情况下不会进行此类日志记录auditd。
在这种情况下为时已晚,但您应该考虑安装它以满足将来的需要。
我想您可能已经检查过您的备份。希望它包含已删除的文件。