在Debian系统中,要查看用户的删除记录并不直接支持,因为userdel命令本身并不会记录删除操作。但是,可以通过其他方式间接地追踪或记录用户删除操作。
auditd 是一个强大的 Linux 内核安全模块,它可以记录系统中的各种操作,包括文件删除。以下是使用 auditd 来查看用户删除记录的步骤:
安装 auditd(如果尚未安装):
云服务器
物理服务器
虚拟主机
跨境电商服务器sudo apt-get install auditd audispd-plugins
启动并开启 auditd 服务:
sudo systemctl start auditd
sudo systemctl enable auditd
配置 auditd 以捕获文件删除操作:
创建或编辑 /etc/audit/rules.d/audit.rules 文件,添加以下内容:
-w /path/to/your/directory -p wa -k file-deletion -m file-deletion --log
将 /path/to/your/directory 替换为您要监视的目录路径。这将监视该目录中的写入(包括删除)操作,并在每次发生此类操作时生成日志条目。
重新启动 auditd 服务以应用新的规则:
sudo systemctl restart auditd
查看日志:
使用以下命令查看与 file-deletion 关键字相关联的所有审计日志条目:
sudo ausearch -k file-deletion
如果您想查看特定时间范围内的日志,可以使用 -ts 和 -te 选项指定开始和结束时间,例如:
sudo ausearch -k file-deletion -ts today -te now
通过上述步骤,您可以有效地追踪和记录在 Debian 系统中发生的文件删除操作。
辰迅云「云服务器」,即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘,价格低至29元/月。点击查看>>
推荐阅读: Debian与phpstorm兼容性问题