Tôi đang có một thư mục cụ thể ( /home/sam/officedocuments) đang có hàng trăm thư mục và tệp. Tôi nghĩ rằng tôi đã xóa một số tệp và thư mục do nhầm lẫn nhưng tôi không chắc chắn.
Cách tìm tập tin / thư mục nào:
Tôi chỉ muốn biết những tập tin và thư mục đã bị xóa. Khôi phục những tập tin và thư mục đã xóa không quan trọng đối với tôi.
HĐH: CentOS
Câu trả lời:
Gần đây đã thay đổi trong Linux?
Sử dụng findđể tìm kiếm theo thời gian sửa đổi. Ví dụ: để tìm các tệp được chạm trong 3 ngày qua:
find /home/sam/officedocuments -mtime -3
Đối với "lớn hơn 3 ngày", sử dụng +3.
Gần đây đã xóa Linux trong Linux?
Khá nhiều điều không thể. Khi một tập tin bị xóa, nó sẽ biến mất. Trên hầu hết các hệ thống, điều này không được ghi lại ở bất cứ đâu.
3... những gì tôi cần sử dụng cho những 30phút cuối cùng ?
ext3hệ thống tập tin. ext3grep có thể giúp đỡ khi săn lùng. Tôi đã nhận được superuser.com/a/433785/132604 có một số thông tin và liên kết đến các tiện ích có thể được sử dụng để tìm (cũng có thể khôi phục ) các tệp đã bị xóa và thông tin về chúng. Khi bạn xóa tệp, trong hầu hết các hệ thống tệp, nó không thực sự bị xóa mà được đánh dấu là không gian có thể bị ghi đè theo yêu cầu.
Bạn có thể nên cài đặt Công cụ Inotify . sau đó bạn có thể sử dụng inotifywaitlệnh để lắng nghe các sự kiện xảy ra cho thư mục được chỉ định.
Cụ thể nếu bạn muốn xem các tập tin và thư mục bị xóa, hãy sử dụng
inotifywait -m -r -e delete dir_name
và đăng nhập đầu ra này trong một số tập tin.
Hi vọng nó có thể giải quyết vấn đề của bạn
/gốc, có tính đến việc gắn / ngắt kết nối tài khoản? Tôi đoán, trong trường hợp đó, điều duy nhất khả thi để giữ nhật ký xóa sẽ là một mô-đun hạt nhân sẽ móc vào unlink(xem stackoverflow.com/questions/8588386/ trên ); cũng man inotifywaitnói: "--recursive: Cảnh báo: ... tùy chọn này trong khi xem ... một cây lớn, có thể sẽ mất khá nhiều thời gian. Ngoài ra, ..., sẽ đạt được số lượng đồng hồ inotify tối đa cho mỗi người dùng. tối đa mặc định là 8192; "
dmesg [| tail]sẽ hiển thị cho bạn [gần đây] gắn kết / ngắt kết nối, nếu đó là những gì bạn đang hỏi.
Linux thường không yêu cầu xác nhận trước khi xóa các tệp, giả sử bạn đang sử dụng rmtừ dòng lệnh.
Để tìm các tệp được sửa đổi trong 30 phút qua, hãy sử dụng touch --date="HH:MM" /tmp/referenceđể tạo một tệp có tên tham chiếu với dấu thời gian từ 30 phút trước (trong đó HH: MM tương ứng với 30 phút trước). Sau đó sử dụng find /home/sam/officedocuments -newer /tmp/referenceđể tìm tập tin mới hơn tham chiếu.
Nếu bạn đã xóa các tệp bằng công cụ GUI, chúng vẫn có thể nằm trong một số loại "thùng rác". Nó phụ thuộc vào những gì bạn đang sử dụng cho một môi trường máy tính để bàn. Nếu bạn đã sử dụng rmtừ dòng lệnh, thì hãy thử một trong những tiện ích được đề cập trong câu trả lời này . (Hat tip cho @Sampo cho liên kết đó.)
ext3greptiện ích để tìm hiểu thông tin về các tệp đã bị xóa. Với một số kịch bản, có thể kết hợp ứng dụng đơn giản liệt kê các tệp bị xóa dựa trên thư mục cụ thể. Tuy nhiên, các tiện ích này cần truy cập thô vào đĩa và như vậy cực kỳ nguy hiểm nếu không được sử dụng đúng cách ( các thao tác chỉ đọc không chặn sẽ hoàn toàn an toàn nếu bạn nhớ rằng ghi vào đĩa cùng lúc có thể khiến hoạt động hiện tại trả lại dữ liệu bị hỏng / không chính xác ).