Arquivos estão faltando e eu quero saber o que aconteceu com eles

Question

Arquivos estão faltando e eu quero saber o que aconteceu com eles

#1 resposta do (5 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)

3

De alguma forma, alguns arquivos estão faltando em um diretório e eu gostaria de saber o que aconteceu com esses arquivos. Quem os moveu / excluiu? Como posso investigar?

Podemos obter um histórico em um diretório?

Estes são arquivos de usuários comuns no AIX 6.1; Não sei qual sistema de arquivos está em uso.

filesystems aix

por user3786487 19.07.2014 / 14:09

3 respostas

Tags filesystems aix

Substitui fisicamente as credenciais do linux Qual é a unidade de alocação usual para um processo no Linux?

score 5 · Answer 1

Como uma abordagem de força bruta, supondo que você tenha acesso a todos os diretórios de usuários e que todos os usuários estejam usando o bash como seu shell padrão, você pode pesquisar em seus arquivos de histórico:

grep 'deletedfilename' /home/*/.bash_history

Supondo que eles foram excluídos recentemente o suficiente para que o comando ainda seja salvo no histórico do shell do usuário, isso mostrará a você quem excluiu os arquivos. Você também pode estender isso para procurar os arquivos equivalentes de outros shells. Por exemplo:

grep 'deletedfilename' /home/*/.bash_history /home/*/.zsh_history

score 2 · Answer 2

Se for possível que eles tenham sido movidos, tente encontrá-los com locate - que os encontraria se fossem movidos há algum tempo, antes da última execução de updatedb (normalmente daiy):

locate --existing --basename 'foo.txt'

ou usando opções curtas:

locate -eb 'foo.txt'

Se isso não for encontrado, você poderá usar o comando find .

Adivinhe onde poderia ser para escolher um diretório para pesquisar recursivamente, antes de usar find em árvores de diretórios maiores.

Cuidado com sistemas de arquivos remotos - por exemplo, antes de executar find /home -name foo.txt , verifique se isso pode automontar todos os diretórios iniciais - possivelmente milhares , e se você quer isso.

score 1 · Answer 3

Além das pesquisas recomendadas por terdon, você também pode pesquisar pelo nome da pasta.

Portanto, se alguém excluiu (ou moveu) os arquivos usando um caractere curinga, talvez você não encontre nenhum nome de arquivo especificado em nenhum arquivo de histórico.

Por exemplo, se alguém fez:

$ cd /home/mydir
$ rm *
    Or
$ cd somewhere-else
$ mv /home/mydir/* .

Você não encontraria nenhum dos seus nomes de arquivo no histórico deles, mas encontraria mydir .

Então, tente também:

grep 'mydir' /home/*/.bash_history /home/*/.zsh_history

Além disso: não sei se é possível, mas talvez isso tenha acontecido como resultado de alguma limpeza automatizada após exceder a cota de disco. Essa seria uma política bastante brutal, mas suponho que seja possível e vale a pena investigar.