如何查出哪台电脑删除了服务器上的文件??

查看系统日志如果你的系统日志记录日常操作的话

当然，如果局域网内电脑多的话记录会非常之多，查找的工作量很巨大，在里面找一些操作痕迹几乎不可能。

最好就是防范于未然。

所以最好的方法是将文件服务器的权限管控好，譬如分部门，部门文件夹只能该部门的人员访问，然后下面分个人，个人的文件夹同部门的人员都可以读取，但是只有个人能够更改，部门有个专门的公用文件夹，同部门的人每个都可以更改。

在AD里面建一个OU，专门放置SHAREGROUP，每个部门都建立组。

如果有两个部门以上的人员需要共享资料就在其他地方建立文件夹的方式，如Public-Dept等等，具体的要看你的需求而定。

这样建立文件服务器后就能防止出现误删的情况了，不过删除了也不怕，我们有用symentc

backup

exec每天备份的。

CentOS系统中，当误删除了文件后，进行以下几步操来恢复文件。

1、关掉所有的服务

当发现误删除文件时，为了尽可能的恢复数据，先要关掉所有的正在进行的服务，不要再进行数据的写入，要不然恢复的概率那就低了。我们可以直接

# killall 进程名

或者

# kill -9 pid

然后把误删除的文件所在分区，重新挂载成只读的

# mount -o ro /dev/sdb /data/

2、安装extundelete工具

# yum install -y e2fsprogs //安装依赖包

# wget

http://nchcdlsourceforgenet/project/extundelete/extundelete/024/extundelete-024tarbz2

#

tar -jxvf extundelete-024tarbz2

# cd extundelete-024

# /configure

--prefix=/usr/local/extundelete

# make && make install

3、验证是否安装成功

# cd /usr/local/extundelete/bin

# /extundelete

-v

---------------------

extundelete version 024

libext2fs version

14112

Processor is little endian

---------------------

4、恢复数据

实例：假如我们误删除文件为 testtxt，所在分区为/dev/sdb。

1）扫描文件

#

/usr/local/extundelete/bin/extundelete /dev/sdb --inode 2

//扫描哪些文件被删除了

2）恢复文件

# /usr/local/extundelete/bin/extundelete --restore-file testtxt /dev/sdb

3）查看文件

恢复的文件在当前目录下的 RECOVERED_FILES/ 目录下

# ls /RECOVERED_FILES/

可以看到 testtxt 文件。

注意：

--------------------------------------------------------------------------------

如果想恢复整个分区上的文件，则可以执行以下命令

#

/usr/local/extundelete/bin/extundelete --restore-all /dev/sdb

恢复后的文件也在

/RECOVERED_FILES/

目录下。

--------------------------------------------------------------------------------

5、后续工作

1）重新挂载该分区为可写。

2）备份重要数据。

3）覆盖我们恢复出来的数据。

4）重启服务器，恢复之前关闭的各种服务。