在CentOS系统中,回收站的日志记录主要依赖自定义脚本(记录删除操作的详细信息)和审计工具(监控文件系统事件),以下是具体实现方式:
通过修改rm命令的别名,将删除的文件移动到回收站并记录操作日志(包括时间、原路径、目标路径)。
delete脚本文件,内容如下(关键逻辑:移动文件到回收站并记录日志):#!/bin/bash
# 记录删除信息的日志函数
log_trash() {
file=$1
timestamp=$2
echo "$timestamp\t$file\t$HOME/.local/share/Trash/files/$(basename "$file")" >> ~/.local/share/Trash/.log
}
# 移动文件到回收站的函数
move_to_trash() {
# 创建回收站目录(若不存在)
mkdir -p ~/.local/share/Trash/files
mkdir -p ~/.local/share/Trash/.log
# 遍历所有参数文件
for file in "$@"; do
if [ -e "$file" ]; then
# 获取当前时间戳
timestamp=$(date +"%Y-%m-%d %H:%M:%S")
# 移动文件到回收站
mv "$file" ~/.local/share/Trash/files/
# 记录日志(时间、原路径、回收站路径)
log_trash "$file" "$timestamp"
fi
done
}
# 执行移动操作
move_to_trash "$@"
/etc/bashrc(全局生效)或~/.bashrc(当前用户生效),将rm命令替换为自定义脚本:chmod +x /path/to/delete # 替换为脚本实际路径
echo 'alias rm="/path/to/delete"' >> ~/.bashrc
source ~/.bashrc # 重新加载环境变量
~/.local/share/Trash/.log,可使用以下命令查看:cat ~/.local/share/Trash/.log
2025-10-02 10:00:00 /home/user/test.txt /home/user/.local/share/Trash/files/test.txt
auditd是Linux系统自带的审计工具,可监控回收站目录的创建、删除、修改等事件,并将日志记录到系统审计日志中。
sudo yum install audit -y
sudo systemctl start auditd
sudo systemctl enable auditd
/etc/audit/audit.rules文件,添加以下规则(监控用户回收站目录,替换your_username为实际用户名):-w /home/your_username/.local/share/Trash/files -p wa -k trash_monitor
-w:指定监控目录;-p wa:监控写入(w)和属性修改(a)事件;-k trash_monitor:自定义日志标签(便于后续查询)。ausearch命令查询回收站相关事件:sudo ausearch -k trash_monitor
type=SYSCALL msg=audit(1725230400.123:456): arch=x86_64 syscall=unlinkat success=yes exit=0 a0=3 a1=7ffd12345678 a2=0 a3=0 items=1 ppid=1234 pid=5678 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 comm="rm" exe="/usr/bin/rm" key="trash_monitor"
/root/.local/share/Trash),需调整规则中的路径;logrotate工具(如搜索结果中提到的/etc/logrotate.d/rsyslog配置)管理日志文件大小和保留时间,避免日志占用过多磁盘空间。以上方法可实现CentOS回收站操作的日志记录,满足“追踪删除行为”的需求。
