linux 如何查看删除记录

在Linux系统中，查看文件删除记录通常涉及到审计日志和文件系统的操作日志。以下是一些方法来追踪文件的删除操作：

1. 使用 auditd 进行审计

auditd 是 Linux 审计系统的一部分，它可以记录系统上的各种活动，包括文件的创建、修改和删除。

启用 auditd

首先，确保 auditd 服务已经安装并运行：

sudo apt-get install auditd  # 对于 Debian/Ubuntu 系统
sudo yum install auditd      # 对于 CentOS/RHEL 系统

启动并启用服务：

sudo systemctl start auditd
sudo systemctl enable auditd

创建审计规则

创建一个规则来监控特定目录下的文件删除操作：

sudo auditctl -w /path/to/directory -p wa -k file-delete

这里 -w 指定要监控的目录，-p wa 表示监控写和属性更改权限，-k file-delete 是为这条规则指定一个键值，方便后续查询。

查看审计日志

使用 ausearch 或 grep 命令来查看相关的审计日志：

sudo ausearch -k file-delete

或者直接查看 /var/log/audit/audit.log 文件：

sudo grep 'file-delete' /var/log/audit/audit.log

2. 使用文件系统的日志功能

某些文件系统如 ext3、ext4 提供了日志功能，可以记录文件系统的操作。

查看 ext3/ext4 日志

对于 ext3 或 ext4 文件系统，可以使用 dmesg 或查看 /var/log/messages 来获取删除操作的记录：

dmesg | grep "delete"

或者：

grep "delete" /var/log/messages

3. 使用 lsof 监控打开的文件

虽然 lsof 主要用于查看当前打开的文件，但在文件被删除但仍有进程持有其句柄的情况下，可以使用 lsof 来追踪：

sudo lsof | grep deleted

这将列出所有被标记为已删除但仍被进程使用的文件。

注意事项

审计日志可能会占用大量磁盘空间，需要定期管理和清理。
文件系统的日志功能可能需要特定的挂载选项才能启用。
在生产环境中使用这些工具时，应考虑到对性能的影响。

通过上述方法，你可以有效地追踪和查看Linux系统中文件的删除记录。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

查看linux执行的命令记录_linux删除history记录

前言我们每次敲打linux命令的时候，有时候想用之前用过的命令，一般情况下，我们都会按↑↓箭头来寻找历史的命令记录，那如果我想用1天前执行的某条命令，难道还要按↑100次？...显示这样是不现实的，我们可以使用history命令即可实际过程中，history还是很有用的查看历史命令执行记录(history) history 查看命令tail 的历史执行记录 history...| grep tail 执行历史记录中，序号为1000的命令执行上一条命令（直接输入两个感叹号） !!...查找最后5条历史记录（两种方式） history 5 history | tail -5 清除历史记录 history -c 将当前所有历史记录写入历史文件中，默认写入 ~/.bash_history

5.6K3 0

Linux查看和删除PHP版本

# php -v 查看全部php软件包复制代码 #rpm -qa|grep php 提示如下： php-cli-5.4.16-46.el7.x86_64 php-process-5.4.16-46...x86_64 php-pdo-5.4.16-46.el7.x86_64 php-odbc-5.4.16-46.el7.x86_64 php-xmlrpc-5.4.16-46.el7.x86_64 删除

1.7K2 0

查看Linux系统版本信息记录

这是个很常识性的知识点，只不过不同的发行版本有所不同，也可能有的命令没有，不过你想查看到你想看到的信息，总有一个是有的，这里我记录一下，也方便自己以后使用。...No.1 查看内核版本信息方法一： [root@labhost1 nock]# cat /proc/version Linux version 2.6.32-431.11.5.el6.ucloud.x86...No.2 查看系统版本信息方法一： [root@labhost1 nock]# cat /etc/issue CentOS release 6.5 (Final) Kernel \r on an \...m 查看/etc/issue 这种方法使用于所有的Linux发行版本系统。...比如debian: root@debian9:~# cat /etc/issue Debian GNU/Linux 9 \n \l 方法二： [root@labhost1 nock]# lsb_release

4.8K2 0

如何删除远程连接记录

1、修改注册表：开始－运行－regedit 找到HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default，删除右面的数值。...通过上面两条就可以完全删除远程输入过的记录了。

2.9K6 0

linux如何查看防火墙是否开启?删除iptables规则

iptables是linux下的防火墙组件服务，相对于windows防火墙而言拥有更加强大的功能，此经验咗嚛以centos系统为例。...关于iptables的一般常见操作，怎么来判断linux系统是否启用了iptables服务检查iptables是否安装 Linux下的防火墙iptables一般是系统集成的组件，检查是否安装可以...服务是否运行可以通过service iptables status 如图（如果有其他组件如fail2ban也会调用防火墙规则）后面就是规则链列出iptables规则如果要查看具体的...如图显示为确定xxx表示当前已经启用了iptables）如果提示没有任何信息，表示当前系统没有启用iptables服务（进程） END 关闭iptables防火墙/删除规则...清除列表规则（iptables -L 列出当前的iptables规则）删除某条iptables规则，选择输入iptables -d xxxx ，启动iptables服务操作方法如图

8K3 0

linux系统下载、查看、删除命令符

作为linux系统的新手，通常第一步就是下载需要搭建服务器环境的相关文件内容了，那么如何掌握下载、查看、删除的基础操作命令呢？下面整理了相关命令符，仅供参考。...运行以上代码即可以执行下载命令，但如果想要在后台运行下载又该如何操作呢？...当需要查看在后台下载的进度时，只需要提交以下代码命令即可： #tail -f wget-log 在运行了以上下载命令，并下载完毕后，如未指定下载目录的情况下，该怎样查看下载所在目录及文件呢？...在获取了所在目录之后，如何查看目录内的文件呢？可以执行以下命令，进入目录，并查询目录内的所有文件内容列表。...如想要产出某一个文件，则可以通过rm的命令执行删除。如： #rm 文件名即可成功删除指定删除的文件内容。

4.4K3 0

linux日志审计系统_linux查看审计记录命令

Linux日志审计常用命令 find、grep 、egrep、awk、sed Linux 中常见日志以及位置位置名称 /var/log/cron 记录了系统定时任务相关的日志 /var/log/auth.log...记录验证和授权方面的信息 /var/log/secure 同上，只是系统不同 /var/log/btmp 登录失败记录使用lastb命令查看 /var/log/wtmp 登录失成功记录使用last...命令查看 /var/log/lastlog 最后一次登录使用lastlog命令查看 /var/run/utmp 使用 w、who、users 命令查看 /var/log/auth.log、/var/...log/secure记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中常用审计命令 //定位多少...如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至举报，一经查实，本站将立刻删除。

13.1K6 0

如何Ubuntu查看程序安装记录

附录： 1.查看安装的所有软件 dpkg -l dpkg -l | grep ftp #例子 2.查看软件安装的路径 dpkg -L | grep ftp #方法一 whereis ftp #方法二...3.查看软件版本 aptitude show aptitude show ftp #例子

2.5K1 0

查看linux执行的命令记录_linuxhistory命令

4.3K2 0

linux查看文件权限修改记录_文件修改记录

如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至举报，一经查实，本站将立刻删除。

9K3 0

如何查看Centos用户登陆记录

首先简单介绍一下Centos中记录登陆信息的日志有关当前登录用户的信息记录在文件utmp中；登录进入和退出纪录在文件wtmp中；最后一次登录文件可以用lastlog命令察看。...数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。每次有一个用户登录时，login程序在文件lastlog中察看用户的UID。...该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用，包括who、w、users和finger。下一步，login程序打开文件wtmp附加用户的utmp纪录。...下面来说如何查看Centos用户登陆日志 who who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。...使用命令who /var/log/wtmp查看所有登陆记录，结果如下： who /var/log/wtmp last last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。

7.2K2 0

SVN如何查看修改的文件记录

查看修改的信息使用 log 指令，如下： svn log; #什么都不加会显示所有版本commit的日志信息; svn log -r 4:5; #只看版本4和版本5的日志信息; svn log test.c...; #查看文件test.c的日志修改信息; svn log -v dir; #查看目录的日志修改信息,需要加v; 查看某个版本的某个文件内容，使用cat指令，如下： svn cat -r 4 test.c...; #查看版本4中的文件test.c的内容,不进行比较; 不用下载到本地查看文件的各种信息，使用 list 指令，如下： svn list http://svn.test.com/svn #查看目录中的文件...; svn list -v http://svn.test.com/svn #查看详细的目录的信息(修订人,版本号,文件大小等);

4.8K2 0

如何查看Linux版本信息？

这里所谓的Linux版本信息，包括Linux内核版本信息和Linux系统版本信息。...下面分别介绍 >>> （笔者在Ubuntu12.04中进行操作并截图如下）一、查看Linux内核版本信息方法1：登陆Linux，在终端输入 cat /proc/version 方法2：登陆Linux...，在终端输入 uname -a 方法3：登陆Linux，在终端输入 uname -r 二、查看Linux系统版本信息方法1：登陆Linux，在终端输入 cat /etc/issue 方法2：登陆...而我们使用命令 uname -a 的信息就是从该文件获取的，当然用 cat /proc/version 方法直接查看它的内容也可以达到同等效果。...另外，加上参数”-a”是获得详细信息，如果不加参数为查看系统名称。

23.7K2 0

Linux入门 | 查看文件位置、移动及删除文件

Linux入门 | 查看文件位置、移动及删除文件作为科研工作者，熟练掌握Linux操作系统不仅能够提升数据处理、编程开发等任务的效率，更是许多科研软件和计算环境的基础。...本文将带你走进Linux的世界，从最基础的命令入手，帮助初学者快速搭建起Linux操作的知识框架，为科研之路打下坚实基础。...这一功能在查看文件属性、判断文件类型时尤为实用。 In [2]: !...ls abc.txt test 7. rm：慎用的删除指令 rm命令用于删除文件或目录。注意，一旦执行删除操作，数据通常无法恢复，因此在使用时务必谨慎。...利用历史记录与自动补全方向键上下翻阅：在Linux终端中，使用向上和向下方向键可以轻松调出之前输入过的命令历史记录，无需重复键入，极大地提升了操作效率。

2221 0

如何根据日志查看删除的数据（转译）

raresql.com/2011/10/22/how-to-recover-deleted-data-from-sql-sever/ 　　在我的SQLServer的工作中，最经常被问到的一个问题就是“能恢复删除的数据吗...首先创建一个存储过程来将删除数据查询出来，也是由原文作者开发的如下： 1 -- Script Name: Recover_Deleted_Data_Proc 2 -- Script Type

7.4K10 0

linux如何查看端口占用？

在服务器的日常使用中，有时候会遇到某些端口被占用的情况发生，那么怎么查看端口被占用了呢？下面简单介绍一下使用命令，可以参考端口被占用的情况。及时解决端口被占用的问题。...方法一： 1.先用ps -ef | grep xxx(某个进程)，可以查看某个进程的pid。 2.再用netstat -anp | grep pid号，可以查看到该进程占用的端口号!...方法二：直接用lsof命令可以查看端口使用情况! 常用命令： 1，lsof -i:端口号 2，netstat -tunlp|grep 端口号这两个命令都可以查看端口被什么进程占用。

51.5K0 0

linux: 如何查看端口占用？

本文链接：https://blog.csdn.net/weixin_40313634/article/details/101630426 查看端口占用 $: netstat -anp | grep 8888

37.7K1 0

Linux 如何查看目录大小

du命令参考文章：how to check directory size in Linux 用于显示目录或文件的大小。...显示当前目录文件或者文件占用空间：du 显示指定文件或文件夹的大小：du test.txt 方便阅读的格式查看目录所占空间情况：du -h test 仅显示当前文件夹的总计：du -s * 以方便阅读的方式查看指定目录层级的空间占用情况...：du -lh --max-depth=1 du命令排序查看目录大小的命令是du（当然也可以查看文件大小），例如：du ems_data，就是查看ems_data目录下各子目录的大小；du，就是查看当前目录下各子目录的大小...；du *，就是查看当前目录下各子目录和文件的大小。...为了提高查看效果，我们需要对结果进行排序，因为du的命令结果很乱，例如：从大到小排列：du ems_data | sort -nr 按目录名排列：du ems_data | sort +1 -2 选出排在前面的

31.7K3 0

查看linux执行的命令记录_tail命令查看最后100行日志

2.9K1 0

Linux基础之查看、添加、修改、删除用户命令方法

/etc/passwd 文件查看用户信息将用户登录名匹配相应的UID值，它包含了一些用户信息：以冒号为分隔符划为7列，分别是：登录用户名用户密码(都用x表示，用户密码一般保存在/etc/...shadow文件中) 用户账户UID值用户账户组ID值(简称GID) 用户账户的文本描述信息用户HOME目录的路径位置用户默认的shell 我们可以直接修改此文件，用于添加、删除、修改账户，但极不推荐...chpasswd用来大批量修改用户密码，它能通过标准输入自动读取用户名与密码 chpasswd < users.txt #users.txt格式为“用户名:密码” 以上就是添加、修改、删除用户的基本操作...，限于篇幅本文没有谈linux组的常用操作，后续再表。

2.9K0 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

linux 如何查看删除记录

1. 使用 auditd 进行审计

启用 auditd

创建审计规则

查看审计日志

2. 使用文件系统的日志功能

查看 ext3/ext4 日志

3. 使用 lsof 监控打开的文件

注意事项

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐