Linuxで削除されたファイルの履歴を確認する方法
Linuxで削除されたファイルの記録を確認するには、以下のコマンドを使用できます:
- lsコマンドを使用して、ファイルの削除時間を確認します。
- ls -l –time=ctime
- このコマンドはファイルの詳細情報をリストし、ファイルの変更時間(ctime)を表示します。
- 削除したファイルを検索するには、findコマンドを使用します。
- natively in japanese, only need one option: / -xdev \( -type d -name 「.snapshot」-prune \) -o -type f -name 「ファイル名」-print
- filename を検索したいファイル名に置き換えてください。するとこのコマンドはファイルシステム全体で指定したファイル名と一致するファイルを検索します。
- grepコマンドを使用して削除されたファイルのログを検索する:
- var/log/syslogを「deleted」でgrepする
- 指定キーワード “deleted” が含まれる記録を /var/log/syslogファイルで検索します。
- auditdツールを用いてファイルシステムの変更を監視する
- sudo apt-get install auditd
sudo auditctl -w /path/to/directory -p wa -k deleted_files
sudo ausearch -k deleted_files - auditdツールをインストールし、指定されたディレクトリのファイルシステムの変更を監視し、「deleted_files」というキーワードを使って削除されたファイルを記録します。
注意:これらの方法は、ファイル履歴を閲覧するための適切な許可が必要になります。
