117笔记问答在Linux中,要查看删除命令的日志,您可以使用auditd工具
-
首先,确保您已经安装了
auditd。在大多数Linux发行版中,可以使用以下命令安装:对于基于Debian的系统(如Ubuntu):
sudo apt-get install auditd audispd-plugins
对于基于RHEL的系统(如CentOS):
sudo yum install audit
-
启动并开启
auditd服务:对于基于Debian的系统:
sudo systemctl start auditd sudo systemctl enable auditd
对于基于RHEL的系统:
sudo systemctl start audit sudo systemctl enable audit
-
配置
auditd以捕获文件删除操作。创建一个名为/etc/audit/rules.d/audit.rules的文件(如果尚不存在),并添加以下内容:-w /path/to/your/directory -p wa -k file-deletion -m file-deletion --log
其中,将
/path/to/your/directory替换为您要监视的目录路径。这将监视该目录中的写入(包括删除)操作,并在每次发生此类操作时生成日志条目。-k file-deletion是一个自定义关键字,用于在审计日志中过滤这些事件。 -
重新启动
auditd服务以应用新的规则:对于基于Debian的系统:
sudo systemctl restart auditd
对于基于RHEL的系统:
sudo systemctl restart audit
现在,每当有人在监视的目录中执行删除操作时,auditd都会记录这些操作。要查看日志,请使用以下命令:
sudo ausearch -k file-deletion
这将显示与file-deletion关键字相关联的所有审计日志条目。如果您想查看特定时间范围内的日志,可以使用-ts和-te选项指定开始和结束时间,例如:
sudo ausearch -k file-deletion -ts today -te now