因为服务器上有些文件被删除了,操作系统的日志哪里能找到删除的记录?应该是程序或者进程后台进行删除的文件,非指令。因为用history也没能查找到记录
没做过特殊设置的前提下,系统日志是找不到的,不会在日志中有记录。有痕迹就是 历史命令记录 ,如果 都清空了,就找不到的了。
所以,堡垒机的操作审计,为啥要用堡垒机的其中一个原因了。
lsof | grep del 或许可以看到