不知何故,目录中缺少一些文件,我想知道这些文件发生了什么。谁移动/删除了它们?我该如何调查?
我们可以获取目录的历史记录吗?
这些是 AIX 6.1 上的普通用户文件;我不知道正在使用什么文件系统。
作为一种蛮力方法,假设您有权访问所有用户目录并且所有用户都使用 bash 作为他们的默认 shell,您可以搜索他们的历史文件:
grep 'deletedfilename' /home/*/.bash_history
假设它们最近被删除,命令仍然保存在用户的 shell 历史记录中,这将显示谁删除了这些文件。您还可以扩展它以搜索其他 shell 的等效文件。例如:
grep 'deletedfilename' /home/*/.bash_history /home/*/.zsh_history