ubuntu deluser删除用户后监控

在Ubuntu系统中，使用deluser命令删除用户后，可以通过以下几种方法进行监控：

1. 使用auditd进行审计

auditd是Linux系统中的一个审计守护进程，可以用来监控和记录系统中的各种活动。

安装auditd

sudo apt-get update
sudo apt-get install auditd audispd-plugins

配置auditd

编辑/etc/audit/audit.rules文件，添加以下规则来监控用户删除操作：

-a exit,always -F arch=b32 -S deluser -k user_deletion
-a exit,always -F arch=b64 -S deluser -k user_deletion

重启auditd

sudo systemctl restart auditd

查看审计日志

sudo ausearch -k user_deletion

2. 使用syslog进行日志记录

Ubuntu系统默认会将用户管理相关的操作记录在/var/log/auth.log文件中。

查看日志

sudo tail -f /var/log/auth.log | grep 'deluser'

3. 使用last命令查看用户登录和注销记录

虽然last命令主要用于查看用户的登录和注销记录，但也可以间接反映用户是否被删除。

查看最后登录的用户

last

4. 使用w命令查看当前登录用户

w命令可以显示当前登录系统的用户及其活动。

查看当前登录用户

w

5. 使用whoami命令确认当前用户

在执行删除用户操作时，可以使用whoami命令确认当前操作的用户。

确认当前用户

whoami

总结

通过上述方法，可以在Ubuntu系统中有效地监控用户删除操作。auditd提供了最详细的审计信息，而syslog、last、w和whoami等命令则提供了辅助性的监控手段。根据具体需求选择合适的监控方法。

以上就是关于“ubuntu deluser删除用户后监控”的相关介绍，筋斗云是国内较早的云主机应用的服务商，拥有10余年行业经验，提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩，主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复；电子化备案，提交快速，专业团队7×24小时服务支持！

简单好用、高性价比云服务器租用链接：https://www.jindouyun.cn/product/cvm