Answers:
…最近在Linux中进行了更改?
用于find按修改时间搜索。例如,要查找最近3天接触过的文件:
find /home/sam/officedocuments -mtime -3
对于“超过3天”,请使用+3。
…最近在Linux中删除了?
几乎是不可能的。删除文件后,它就消失了。在大多数系统上,这不会记录在任何地方。
3...最后一30分钟需要使用什么?
ext3文件系统。ext3grep可能有助于解决问题。我得到了superuser.com/a/433785/132604,其中包含一些信息以及指向实用程序的链接,这些实用程序可用于查找(也可能会恢复)已删除的文件以及有关它们的信息。在大多数文件系统中,删除文件时,实际上并没有将其删除,而是将其标记为可以按需覆盖的空间。
您可能应该安装Inotify工具。那么您可以使用该inotifywait命令侦听指定目录中发生的事件。
特别是如果您要监视已删除的文件和文件夹,请使用此选项
inotifywait -m -r -e delete dir_name
并将此输出记录在某个文件中。
希望这能解决您的问题
/根目录中查看文件,并考虑到安装/卸载驱动器,这是否适用?我猜想,在那种情况下,保留删除日志的唯一可行方法是挂接到其中的内核模块unlink(请参阅stackoverflow.com/questions/8588386/…);还man inotifywait指出:“-递归:警告:...此选项在观看...一棵大树时,可能要花相当长的时间。而且... ...将达到每个用户的最大手表监测量。默认最大值为8192; “
dmesg [| tail]如果您要的是@sdaau,则应该向您显示[最近]的安装/卸载。
假设您rm从命令行使用Linux,Linux通常不会在删除文件之前要求确认。
要查找最近30分钟内修改过的文件,请使用touch --date="HH:MM" /tmp/reference创建具有30分钟前时间戳的参考文件(其中HH:MM对应30分钟前)。然后使用find /home/sam/officedocuments -newer /tmp/reference查找比参考更新的文件。
如果使用GUI工具删除了文件,则文件可能仍处于某种“垃圾箱”中。这取决于您用于桌面环境的内容。如果您rm是从命令行使用的,请尝试此答案中提到的实用程序之一。(有关该链接的@Sampo提示)。
ext3grep实用程序来查找有关已删除文件的信息。使用某些脚本,应该可以将简单的应用程序放在一起,该应用程序根据特定目录列出已删除的文件。但是,这些实用程序需要对磁盘的原始访问,因此,如果使用不正确,则将极其危险(如果您记得同时写入磁盘会导致当前操作返回损坏的/错误的数据,则非阻塞只读操作应该是完全安全的)。