Você poderia fazer isso se o servidor fosse configurado para auditar o uso do comando rm , bem como auditar as funções de tempo de execução unlink e remove . As informações apareceriam nos arquivos de log de auditoria.
Geralmente isso não é feito porque esse nível de detalhe usaria muito espaço em disco e faria o sistema rodar lentamente.
Leitura adicional:
- auditctl - um utilitário para auxiliar no controle do sistema de auditoria do kernel
- 7.5. Definindo as Regras de Auditoria (Red Hat Enterprise Linux - Guia de Segurança)