Linux 下怎么看到删除记录

如果只是想要查看最近用户使用删除命令删除的文件，其实可以使用history命令，该命令可以显示最近一段时间内执行过的 *** 作命令，然后利用grep筛选出来:
history|grep rm
如果是程序或者进程后台进行删除的文件，或者系统内部删除的文件，也就无法通过上面的方法查找到最近删除的文件了，
但是如果删除的文件是在linux系统的ext2文件系统下的话，也可以使用debugfs命令来查看删除的文件：
1，首先查看需要恢复的文件所在的文件系统
命令行模式下输入指令mount
[xuwangcheng14@root]# mount
/<a href=">Linux下每个用户用他们各自的用户名登录，每个用户名下都有bash_history（除非该用户或Admin另外设置），所以每个用户只会看到自己的history，而Admin只要去不同的用户下看该用户的bash_history文件，就知道该用户的历史。
如果您的用户都是共用同一个用户名，那就很难查了。

1、linux下登录日志记录在：/var/log目录里的 secure文件。
查看ssh用户的登录日志命令：cd /var/log && more secure
上图中可以看到，用户在11:05:57和12:24:33进行了两次登录。
2、使用last命令，可以列出目前与过去登录系统的用户相关信息。这是一个功能很强大的命令。
语法：last [-R] [-num] [ -n num ] [-adiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name] [tty]
例子：last -x ：显示系统关闭、用户登录和退出的历史
last -i：显示特定ip登录的情况
last -t 20150303120101： 显示20150303120101之前的登录信息

---