如何通过ssh查看谁在某个目录中删除文件(如果我有根)? 也许我检查一下谁删除了哪个命令? 或者谁现在登录服务器?
答案 0 :(得分:1)
who命令将告诉您当前登录的用户。
关于查看其他用户的历史记录this answer might help you。特别是下面的命令(如果用户正在使用bash shell)。
grep -e "$pattern" /home/*/.bash_history
答案 1 :(得分:1)
您必须在服务器上激活审核。
Audit提供了一个实用程序,允许您筛选某些感兴趣事件的审计报告。您可以过滤:
检查文档:AUDIT DOC FOR LINUX