如何查看linux删除的文件记录

要查看Linux删除的文件记录，可使用以下命令：

1. 使用 ls 命令来查看文件删除的时间：

   ls -l --time=ctime
   

   该命令将列出文件的详细信息，并显示文件的改变时间（ctime）。

2. 使用 find 命令来搜索删除的文件：

   find / -xdev ( -type d -name ".snapshot" -prune ) -o -type f -name "filename" -print
   

   将 filename 替换为要搜索的文件名。该命令将在全部文件系统中搜索与给定文件名匹配的文件。

3. 使用 grep 命令来查找删除的文件记录：

   grep "deleted" /var/log/syslog
   

   该命令将在 /var/log/syslog 文件中搜索包括 “deleted” 关键字的记录。

4. 使用 auditd 工具来监控文件系统的变化：

   sudo apt-get install auditd
   sudo auditctl -w /path/to/directory -p wa -k deleted_files
   sudo ausearch -k deleted_files
   

   这将安装 auditd 工具，并监控指定目录的文件系统变化，并使用关键字 “deleted_files” 来记录删除的文件。

注意：这些方法都需要适当的权限来查看文件记录。