Linuxでユーザーが削除したファイルを確認する方法はありますか？

Question

ユーザーが日常業務中にどのファイルを削除したかを確認する方法はありますか？ bash_historyについては知っていますが、これ以上のものがあるのではないかと思います。問題は、プレーンなUbuntu（おそらくLinux）サーバーのインストールに関するものです。

userがホームディレクトリでrm -fr dir1を実行する場合、イベントのログはありますか？そのような機能を簡単に有効にする方法はありますか？

編集：何かをインストールする前に調べることはできますか？どちらの答えも素晴らしいです！

ありがとう

Hyppy · Accepted Answer

ファイルシステムの操作を監視するには、inotifyまたはカーネルに組み込まれている監査システムを使用する必要があります。オプションの概要については、このページをご覧ください。 inotifyとauditctlのマニュアルページも非常に価値があります。

これらのプロセスは、特定のファイルが変更されるたびに、それがユーザーの履歴内のコマンドとして実行されたかどうか（GUIファイルマネージャーなどを介して）を通知します。

Eduardo Ivanec · Answer

これを行うには、プロセスアカウンティングを有効にできます。

apt-get install acct

インストール後、ユーザーがlastcomm usernameを使用して実行したすべてのコマンドを確認できます。その他のオプションについては、man lastcomm。