Diese Frage hat hier bereits eine Antwort:
Gibt es ein Protokoll, das den Betrieb von Dateien unter Linux aufzeichnet. Wenn einige Benutzer Dateien umbenennen, löschen oder hinzufügen, kann der Root-Benutzer die Datensätze der Vorgänge anzeigen. Sind diese Protokolle in Linux vorhanden? Vielen Dank
Nicht standardmäßig. Der Kernel verfügt über ein Audit-Framework , das jedoch manuell aktiviert werden muss.
Wenn Sie als Root angemeldet sind, können Sie sie in den Benutzerdateien finden .bash_history(vorausgesetzt, sie verwenden Bash als Shell; andere Shells speichern ihre Historien an einem anderen Ort).
.bash_historyDatei im Home-Ordner eines jeden Benutzers enthält nur Befehle, die von diesem Benutzer in der Konsole eingegeben wurden (Ende auch ausgeführt, die falsch erhalten wird nicht in dieser Datei), es geht nicht um Dateivorgänge. Auch die gleichen Informationen könnten Sie per historyBefehl erhalten.
Ich denke, es ist unmöglich, genau den Verlauf von Dateioperationen abzurufen, aber was Sie erreichen können, ist, alle Dateioperationen für jeden Befehl abzurufen, den Sie möchten - verwenden straceSie dafür. Wie strace -e trace=open groupadd blabla.