Quem renomeou um diretório?

Isso não é uma informação normalmente registrada, a menos que você tenha tomado uma disposição especial para esse efeito (como por meio de algum sistema de auditoria).

O serviço através do qual o usuário renomeou o diretório (como por FTP, SFTP, WebDAV, samba ...) pode ter logs que podem ajudar. Você pode tentar verificar esses logs, o log de autenticação last , lastcomm , audit , na época em que a pasta foi renomeada.

Se você for o administrador, poderá ver o arquivo de histórico dos shells dos usuários que tinham permissões para renomeá-lo (se o diretório foi renomeado de /A/dir para /B/newdir , é quem teve acesso de gravação /A e /B (assumindo que /A não tenha o t em suas permissões e /A/dir e /B estejam no mesmo sistema de arquivos)).

Você não pode. Como renomear um diretório (ou um arquivo) está mudando uma entrada em um diretório (o pai), deve ter sido alguém com permissões de gravação para aquele diretório, mas não está registrado em nenhum lugar que altere arquivos / diretórios.

Você pode usar loggedfs .

Description

LoggedFS is a fuse-based filesystem which can log every operations that happens in it.

How does it work ?

Fuse does almost everything. LoggedFS only sends a message to syslog when called by fuse and then let the real filesystem do the rest of the job.

Está disponível como deb no Ubuntu. Coisa muito engraçada. No entanto, quando você vai tentar usá-lo no servidor ocupado, ele vai comer todo o seu espaço em disco com facilidade.