auditd
-
Linux如何查看文件删除的操作记录?
Linux中,文件删除操作的本质并非直接擦除数据,而是通过unlink系统调用将文件从目录结构中移除,并减少其inode的链接计数,当链接计数归零时,文件对应的数据块被标记为“可重用”,但实际数据可能保留在磁盘上,直到被新数据覆盖,“查看删除记录”的核心是追踪残留的元数据、操作日志或数据块痕迹,以下从多个场景介……
Linux中,文件删除操作的本质并非直接擦除数据,而是通过unlink系统调用将文件从目录结构中移除,并减少其inode的链接计数,当链接计数归零时,文件对应的数据块被标记为“可重用”,但实际数据可能保留在磁盘上,直到被新数据覆盖,“查看删除记录”的核心是追踪残留的元数据、操作日志或数据块痕迹,以下从多个场景介……
