在 Ubuntu 中���,deluser 命令用于刪除系統用戶���。默認情況下����,deluser 命令不會將操作記錄到特定的日志文件中�����。但是��,你可以通過配置系統的審計功能來記錄用戶刪除操作�。
以下是如何配置和使用 auditd 來記錄 deluser 命令操作的步驟:
-
安裝 auditd:
如果你還沒有安裝 auditd����,可以使用以下命令進行安裝:
sudo apt-get update
sudo apt-get install auditd audispd-plugins
-
配置 auditd 規則:
編輯 /etc/audit/rules.d/audit.rules 文件�,添加以下規則來監控 deluser 命令:
-a exit,always -F arch=b32 -S deluser -k deluser
-a exit,always -F arch=b64 -S deluser -k deluser
這些規則會在 deluser 命令執行時生成審計日志條目����,并使用 deluser 作為關鍵字�����。
-
重啟 auditd 服務:
保存文件后�����,重啟 auditd 服務以應用新的規則:
sudo systemctl restart auditd
-
查看審計日志:
你可以使用 ausearch 命令來查看與 deluser 相關的審計日志條目��。例如:
sudo ausearch -k deluser
這將顯示所有與 deluser 關鍵字相關的日志條目�。
通過以上步驟�����,你可以配置 auditd 來記錄 deluser 命令的操作�����,并通過 ausearch 命令查看這些日志條目�。
