要查看Linux刪除的文件記錄,可以使用以下命令:
使用 ls 命令來查看文件刪除的時間:
ls -l --time=ctime
該命令將列出文件的詳細信息,并顯示文件的改變時間(ctime)。
使用 find 命令來搜索刪除的文件:
find / -xdev \( -type d -name ".snapshot" -prune \) -o -type f -name "filename" -print
將 filename 替換為要搜索的文件名。該命令將在整個文件系統中搜索與給定文件名匹配的文件。
使用 grep 命令來查找刪除的文件記錄:
grep "deleted" /var/log/syslog
該命令將在 /var/log/syslog 文件中搜索包含 “deleted” 關鍵字的記錄。
使用 auditd 工具來監控文件系統的變化:
sudo apt-get install auditd
sudo auditctl -w /path/to/directory -p wa -k deleted_files
sudo ausearch -k deleted_files
這將安裝 auditd 工具,并監控指定目錄的文件系統變化,并使用關鍵字 “deleted_files” 來記錄刪除的文件。
注意:這些方法都需要適當的權限來查看文件記錄。
