我想在日志文件或数据库中跟踪在我的Ubuntu Server上删除的文件。因此,如果文件被删除,我将知道谁被删除了。
我该怎么做?
答案 0 :(得分:1)
您想要auditd系统(sudo apt-get install auditd)。我认为应该为所有文件启用删除跟踪:
auditctl -a exit,always -F arch=b32 -S unlink -S unlinkat -S rmdir -k deletion
我认为日志应该显示在/var/log/audit。
了解更多信息:
man auditctl
man audit.rules