在Linux中�,要查看刪除命令的日志�,您可以使用auditd工具
-
首先�����,確保您已經安裝了auditd����。在大多數Linux發行版中����,可以使用以下命令安裝:
對于基于Debian的系統(如Ubuntu):
sudo apt-get install auditd audispd-plugins
對于基于RHEL的系統(如CentOS):
sudo yum install audit
-
啟動并開啟auditd服務:
對于基于Debian的系統:
sudo systemctl start auditd
sudo systemctl enable auditd
對于基于RHEL的系統:
sudo systemctl start audit
sudo systemctl enable audit
-
配置auditd以捕獲文件刪除操作����。創建一個名為/etc/audit/rules.d/audit.rules的文件(如果尚不存在)�,并添加以下內容:
-w /path/to/your/directory -p wa -k file-deletion -m file-deletion --log
其中����,將/path/to/your/directory替換為您要監視的目錄路徑����。這將監視該目錄中的寫入(包括刪除)操作���,并在每次發生此類操作時生成日志條目�。-k file-deletion是一個自定義關鍵字����,用于在審計日志中過濾這些事件���。
-
重新啟動auditd服務以應用新的規則:
對于基于Debian的系統:
sudo systemctl restart auditd
對于基于RHEL的系統:
sudo systemctl restart audit
現在�,每當有人在監視的目錄中執行刪除操作時�,auditd都會記錄這些操作�����。要查看日志�����,請使用以下命令:
sudo ausearch -k file-deletion
這將顯示與file-deletion關鍵字相關聯的所有審計日志條目�����。如果您想查看特定時間范圍內的日志����,可以使用-ts和-te選項指定開始和結束時間�,例如:
sudo ausearch -k file-deletion -ts today -te now
