在Ubuntu系统中,使用deluser命令删除用户后,可以通过以下几种方法进行监控:
auditd进行审计auditd是Linux系统中的一个审计守护进程,可以用来监控和记录系统中的各种活动。
auditdsudo apt-get update
sudo apt-get install auditd audispd-plugins
auditd编辑/etc/audit/audit.rules文件,添加以下规则来监控用户删除操作:
-a exit,always -F arch=b32 -S deluser -k user_deletion
-a exit,always -F arch=b64 -S deluser -k user_deletion
auditdsudo systemctl restart auditd
sudo ausearch -k user_deletion
syslog进行日志记录Ubuntu系统默认会将用户管理相关的操作记录在/var/log/auth.log文件中。
sudo tail -f /var/log/auth.log | grep 'deluser'
last命令查看用户登录和注销记录虽然last命令主要用于查看用户的登录和注销记录,但也可以间接反映用户是否被删除。
last
w命令查看当前登录用户w命令可以显示当前登录系统的用户及其活动。
w
whoami命令确认当前用户在执行删除用户操作时,可以使用whoami命令确认当前操作的用户。
whoami
通过上述方法,可以在Ubuntu系统中有效地监控用户删除操作。auditd提供了最详细的审计信息,而syslog、last、w和whoami等命令则提供了辅助性的监控手段。根据具体需求选择合适的监控方法。
