事後能否檢測到大量數據盜竊（文件訪問）？

假設一名員工在周末來到辦公室一整天，然後不久就送出了他們的通知。

Linux（在我們的例子中是 Centos 7）有沒有辦法消除數據被盜的可能性？感興趣的活動是壓縮包含許多文件的相當大的文件夾（超過 1TB） - 這是一個耗時的過程，可能會在工作日中註意到。

讓我們假設對 Centos 7 伺服器的訪問來自使用 NetaTalk（Apple 文件協議的開源 Linux 實現）連接的 iMac。

由於大多數文件不經常訪問 - 事實上，我們預計大多數文件在一些假設的周末訪問之前就沒有被訪問過 - 我的想法是簡單的文件訪問日誌就足以背叛此類活動，因為它會顯示所有受影響的在該日期訪問過的文件。

因此，如果沒有預先設置跟踪，有沒有辦法列出 Linux（我認為是 Ext4）卷上大量文件的訪問時間，如果是這樣，如何？

ls的-u選項可用於列出文件及其最後訪問時間（而不是預設的最後修改時間）：

ls -lu

由於您正在嘗試檢查大量文件，因此遞歸選項可能很有用：

ls -luR

您還可以使用以下命令列出過去兩天訪問的所有文件find：

find . -atime -2

並且可以組合多個說明符來指定日期範圍，例如

find . -atime +10 -atime -13

查找 10 到 13 天前訪問的文件。-daystart如果您在日曆日而不是命令執行後的 24 小時內進行推理，該選項可能會很有用：

find . -daystart -atime +10 -atime -13

引用自：https://unix.stackexchange.com/questions/551706