Linux怎么查谁删了文件目录

一、Linux怎么查谁删了文件/目录

1、在Linux系统中，您可以使用以下方法来确定谁删除了文件：

2、查看系统日志：Linux系统会记录用户对文件和目录的操作，您可以查看系统日志以确定哪个用户删除了文件。使用以下命令查看系统日志文件：

3、如果您知道删除文件的时间段，请根据需要筛选日志。您可以使用Ctrl+ C退出日志查看。

4、使用auditd：Auditd是一个系统审核守护进程，可以记录Linux系统上的操作和事件。如果您已经在系统上启用了Auditd，可以使用以下命令查找删除文件的记录：

5、sudo auditctl-w/path/to/file-p w-k delete_file

6、这将在Audit日志中创建一个名为“delete_file”的键，并记录删除文件的操作。使用第二个命令搜索键“delete_file”以查找相关事件。

7、使用inotify：inotify是一个Linux内核的文件系统事件通知机制，可以用于监视文件和目录的变化。您可以使用以下命令监视目录并记录所有删除事件：

8、sudo inotifywait-m-r/path/to/directory-e delete> delete.log

9、这将记录所有从指定目录中删除的文件和目录的事件，并将它们写入名为“delete.log”的日志文件中。请注意，此方法只能记录自您运行此命令以来发生的事件。

10、请注意，这些方法都需要在发生文件删除之前启用。如果您没有启用任何方法，则无法确定谁删除了文件。

二、linux查找并删除文件命令linux查找并删除

linux查找包含关键字的所有文件并删除该文件？

1、连接上相应的linux主机，进入到等待输入shell指令的linux命令行状态下。

2、在linux命令行下输入shell指令：find.-name"abc*"|xargsrm-rfv。

3、键盘按“回车键”运行shell指令，此时会看到abc开头的abc123.txt和abc6swef.txt都被删除了。

linux删除命令的三种方式:rm、find、rmdir1.删除文件名目录下所有文件、文件夹(不会提示)rm-rf-R是向下递归。不管有多少级别的目录，请同时删除它们-F是直接删除，不带任何提示2.删除一个空文件夹redir如果文件夹不为空会出现错误3.find命令。

find命令帮助用户根据特定的表达式搜索文件和目录。

linux下使用通配符批量删除文件？

一、cd命令进入这个linux文件夹目录。

二、打：find.-typef-name*.log-mtime+x-execrm-fv{};命令作用：在当前目录下查找x天前的后缀为log的文件并且删除。

例：find.-typef-name*.log-mtime+300-execrm-fv{};查找300天前的后缀名为log的文件并且删除。命令详细解释：.在当前目录下查找，如果要全盘查找的话，可以把.换成/，这样前面的cd命令就不需要了。

-typef查找的是普通文件，而不是文件夹-name*.log查找后缀为log的文件-mtime+x查找x天以前的文件，所以需要把这个x换成你自己需要查找的天数，比如30.你要删除20090808以前的，就需要计算一下，它距离现在多少天。-execrm-fv{};把查找的文件强制删除如果权限不足，请以root身份运行命令。

如果是ubuntu，前面可以加sudo即可。

Linux怎么清空与删除指定大小文件？

1、按大小查询查找文件size小于10个字节的文件或目录find./-size-10c查找文件size等于10个字节的文件或目录find./-size10c查找文件size大于10个字节的文件或目录find./-size+10c

2、其他大于1Gfind-typef-size+1G|xargsls-l小于100Mfind-typef-size-100M|xargsls-l

3、清空find-typef-size+1G|xargscp/dev/null

4、删除find-typef-size+1G|xargsrm-rf

linux如何彻底删除home文件夹下文件？

删除当前目录下的所有类型的文件，命令语句如下：

删除指定目录下的所有类型的文件，例如：删除/home/wwwroot/目录下的所有文件，命令语句如下：

用find命令在当前目录下查找普通文件并删除，命令语句如下：

用find命令在指定目录下查找普通文件并删除，命令语句如下：

find/home/wwwroot/liaowenxiong/test1-typef-delete

用find命令的处理动作将当前目录下的普通文件删除，命令语句如下：

用find命令的处理动作将指定目录下的普通文件删除，命令语句如下：

find/home/wwwroot/liaowenxiong/test1-typef-execrm-f{};

用于参数列表过长，要删除的文件太多，命令语句如下：

三、如何在 Linux 中恢复已删除的文件-

这曾经发生在你身上吗？你意识到你错误地删除了一个文件---要么通过 Del键，要么在命令行中使用 rm。

在第一种情况下，您可以使用回站站（GNOME界面），然后将其恢复到原始位置。但是第二种情况呢？我相信你可能知道，Linux命令行不会将删除的文件发送到任何地方，而是直接删除它们。

该-i选项与 rm一起使用时在删除文件之前会出现提示。此提示让您有第二次机会考虑是否真的要删除文件，但此提示不会保护您免受自己的粗心大意删除文件，它只是给你提供了二次确认的机会。

要将 rm替换为别名'rm-i'，请执行以下操作：

alias命令将确认 rm现在是别名：

但是，这只会在当前 shell中的当前用户会话期间持续。要使更改永久生效，您必须将其保存到~/.bashrc（某些发行版可能会使用~/.profile），如下所示：

为了使~/.bashrc(or~/.profile)中的更改立即生效，请从当前 shell获取文件：

在日常的系统操作，请小心的你文件，但是，如果您意识到您不小心删除了系统中的文件并且惊慌失措，别担心，此工具会轻松帮你找回误删除的文件！

CentOS/RHEL 7，是目前在生产环境见到的使用最广泛的版本，下面展示在 CentOS/RHEL 7中的安装过程

1、安装完成后，让我们进行一个简单的测试

首先我们将 xihu.jpg从/boot/images目录中删除：

要恢复它，首先按如下方式使用（您需要首先识别底层分区-在这种情况下/dev/sda1就是/boot所在的分区）：

从输出内容来看，文件被成功恢复。

其中/home/rescue是单独磁盘上的目录-请记住，在已删除文件所在的同一驱动器上恢复文件不是明智之举。

如果在恢复过程中，您占用已删除文件所在的相同磁盘扇区，则可能无法恢复任何内容。此外，必须在执行恢复之前停止所有活动。

在 foremost完成执行后，恢复的文件（如果可以恢复）将在/home/rescue/jpg目录中找到。

在本文中，我们解释了如何避免意外删除文件以及在发生此类意外事件时如何尝试恢复文件。但是请注意，根据分区的大小，最终可能需要运行很长时间。