Em geral, é difícil descobrir quem apagou os arquivos, quem modificou os arquivos sem saber sobre o 'sistema de registro' ou eventos pré-configurados
Tente descobrir quem registrou no momento em que o diretório foi excluído.
check the OS syslog (/var/adm/syslog/syslog.log for hp-ux, /var/log/messages for linux)
Try the last commando to get a list of who logged on when
Check the command histories of the sidadm, root user, use the history command, or the h alias
Check if there are scripts running, which regularly delete files
Além disso, você pode dar uma olhada nos seus usuários. bash_history , supondo que eles usem o bash:
Execute os comandos abaixo no terminal:
cd /home
find 'ls'/.bash_history -exec /usr/bin/grep "deleted-filename" {} /dev/null \;
é um arquivo que somente o root pode deletar, então olhe para o .bash_history do root, mas então você tem que descobrir quem estava logado como root ou su'ed para root. Para isso, o comando last root | more pode ajudá-lo
Como o diretório trans pode ser montado pelo NFS em outros servidores, talvez seja necessário fazer as verificações lá também.
Além disso, para uso futuro, instale quaisquer soluções SIEM de código aberto, como alienvault, etc, que possam ajudá-lo a manter e registrar os eventos.