在 Ubuntu 中,deluser 命令用于删除系统用户。默认情况下,deluser 命令不会将操作记录到特定的日志文件中。但是,你可以通过配置系统的审计功能来记录用户删除操作。
以下是如何配置和使用 auditd 来记录 deluser 命令操作的步骤:
安装 auditd:
如果你还没有安装 auditd,可以使用以下命令进行安装:
sudo apt-get update
sudo apt-get install auditd audispd-plugins
配置 auditd 规则:
编辑 /etc/audit/rules.d/audit.rules 文件,添加以下规则来监控 deluser 命令:
-a exit,always -F arch=b32 -S deluser -k deluser
-a exit,always -F arch=b64 -S deluser -k deluser
这些规则会在 deluser 命令执行时生成审计日志条目,并使用 deluser 作为关键字。
重启 auditd 服务:
保存文件后,重启 auditd 服务以应用新的规则:
sudo systemctl restart auditd
查看审计日志:
你可以使用 ausearch 命令来查看与 deluser 相关的审计日志条目。例如:
sudo ausearch -k deluser
这将显示所有与 deluser 关键字相关的日志条目。
通过以上步骤,你可以配置 auditd 来记录 deluser 命令的操作,并通过 ausearch 命令查看这些日志条目。