Existe alguma ferramenta ou registros que possam fornecer informações sobre isso? Além disso, se não houver nenhuma maneira de descobrir o acima, então ... posso fazer algo que me informa quando alguém ou algum serviço tentou excluir a pasta.
Este pequeno script do Dtrace registrará facilmente todas as exclusões de arquivos no sistema:
dtrace -qn 'syscall::unlink*:entry { printf("%d, %s, %s\n", uid, execname, copyinstr(arg0));}
syscall::fsat:entry /arg0 == 5 / { printf("%d, %s, %s\n", uid, execname, copyinstr(arg2));}'
AFAIK não existe solução "out the box", mas você pode usar um observador de arquivos orientado a eventos para eventos do sistema de arquivos (no diretório its in) - e procurar o (s) programa (s) ofensivo (s) correspondente (is).
Se você precisar de um aplicativo desse tipo, talvez valha a pena perguntar no StackOverflow, já que você não pode ser o único com essa necessidade.
Tags solaris