有没有办法查看用户在日常工作中删除的文件。 我知道bash_history ,但是我想知道是否有比这更多的东西。 问题是关于纯Ubuntu(大概是任何Linux)服务器安装。
如果user在其主目录中运行rm -fr dir1 ,是否会有事件日志? 我有办法轻松启用这样的function吗?
编辑:我可以找出之前安装任何东西? 两个答案都很好!
谢谢
要监视文件系统操作,需要在内核中使用inotify或内置的审计系统。 看看这个页面 ,简要介绍一下你的select。 inotify和auditctl的手册页也非常有价值。
这些进程会告诉你什么时候某个文件被改变,不pipe它是否作为用户历史logging中的命令完成(例如,通过GUI文件pipe理器等)。
您可以启用进程记帐来执行此操作。
apt-get install acct
安装完成后,您将能够使用lastcomm username查看用户运行的所有命令。 man lastcomm更多的select。