ubuntu deluser删除用户后监控

在Ubuntu系统中，使用deluser命令删除用户后，可以通过以下几种方法进行监控：

1. 使用auditd进行审计

auditd是Linux系统中的一个审计守护进程，可以用来监控和记录系统中的各种活动。

安装auditd

sudo apt-get update
sudo apt-get install auditd audispd-plugins

配置auditd

编辑/etc/audit/audit.rules文件，添加以下规则来监控用户删除操作：

-a exit,always -F arch=b32 -S deluser -k user_deletion
-a exit,always -F arch=b64 -S deluser -k user_deletion

重启auditd

sudo systemctl restart auditd

查看审计日志

sudo ausearch -k user_deletion

2. 使用syslog进行日志记录

Ubuntu系统默认会将用户管理相关的操作记录在/var/log/auth.log文件中。

查看日志

sudo tail -f /var/log/auth.log | grep 'deluser'

3. 使用last命令查看用户登录和注销记录

虽然last命令主要用于查看用户的登录和注销记录，但也可以间接反映用户是否被删除。

查看最后登录的用户

last

4. 使用w命令查看当前登录用户

w命令可以显示当前登录系统的用户及其活动。

查看当前登录用户

w

5. 使用whoami命令确认当前用户

在执行删除用户操作时，可以使用whoami命令确认当前操作的用户。

确认当前用户

whoami

总结

通过上述方法，可以在Ubuntu系统中有效地监控用户删除操作。auditd提供了最详细的审计信息，而syslog、last、w和whoami等命令则提供了辅助性的监控手段。根据具体需求选择合适的监控方法。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！