linux 查看文件被什么程序删除了

如果只是想要查看最近用户使用删除命令删除的文件，其实可以使用history命令，该命令可以显示最近一段时间内执行过的 *** 作命令，然后利用grep筛选出来:history|grep rm如果是程序或者进程后台进行删除的文件，或者系统内部删除的文件，也就无法通过上面的方法查找到最近删除的文件了，但是如果删除的文件是在linux系统的ext2文件系统下的话，也可以使用debugfs命令来查看删除的文件：1，首先查看需要恢复的文件所在的文件系统 命令行模式下输入指令mount[xuwangcheng14@root]# mount/dev/xvda1 on / type ext2 (rw,errors=remount-ro)proc on /proc type proc (rw,noexec,nosuid,nodev)sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)由上知，/dev/xvda1挂载在/下，即根目录，且文件系统是ext22，将被删除的文件所在的分区重新挂载成只读[xuwangcheng14@root]# mount -n -o remount,ro /dev/xvda13，使用debugfs工具查找删除的文件和恢复文件[xuwangcheng14@root]# debugfs /dev/xvda1debugfs 1.42 (29-Nov-2011)debugfs: lsdel进入debugfs模式后输入lsdel后可以看到被删除的文件信息stat显示某个节点所对应的文件信息，恢复文件使用dump 文件路径。

作为一个多用户、多任务的 *** 作系统，Linux下的文件一旦被删除，是难以恢复的。尽管删除命令只是在文件节点中作删除标记，并不真正清除文件内容，但是其他用户和一些有写盘动作的进程会很快覆盖这些数据。不过，对于家庭单机使用的Linux，或者误删文件后及时补救，还是可以恢复的。一、用运SecureCRT远程对 *** 作系统上，查看一下当前系统版本号，及文件系统格式

二、为方便本次实验，我们新创建一文件。

三、执行删除 *** 作

四、运用，系统自还工具debugfs来修复

五、打开，刚刚被删除文件所在的分区

六、用ls 加-d参数显示刚刚删除文件所在的目录

七、显示有<>尖括号的就是我们要找的文件Inode 号 执行logdump –I <393289>

八、执行完命令后，显示了一屏信息，我们需要的是下面这一行，并且要记住，后面的值

九、退出debugfs

十、执行如下命令

十一、以上结果表示恢复成功我们看下/tmp目录下到底有没有

十二、tmp目录下有我们显示一下

---