誰かにサーバにあるデータを消される。犯人を突き止めたい

サーバに対するroot権限を持っていて会社の許可をもらっている前提ですが、 No5さんの言うように、rmコマンドを別のコマンドにしてしまうのが 手っ取り早いかなと思います。 やり方としては、rmをリネームして（ex:org_rm等）自作した、rmから 引数をすべてorg_rmへ渡します。 org_rmへ渡す前に、必要な情報をログに吐きます。 というやり方です。 rmコマンドをperlで書けばこんな感じかなぁ？ Solarisが手元にないので、パスには自信がありませんが・・・・・ rmコマンド #!/usr/bin/perl $ORG_RM="/bin/org_rm"; $USER=`/usr/bin/who`; ($sec,$min,$hour,$mday,$mon,$year,$wday,$yday,$isdst) = localtime(time); $year += 1900; $mon += 1; $Date="$year/$mon/$mday $hour:$min"; chomp $USER; foreach(@ARGV){ $COMMAND = $COMMAND . " " . $_; } open(OUTPUT,">>/var/log/rm.log"); print OUTPUT "$Date $USER rm $COMMAND\n"; `$ORG_RM $COMMAND`; ログファイル、作成した、rmコマンドに実行権や書き込み権をつけるのを忘れないようにしてください。 あと、エラーした場合には、パスがばれますけど・・・・・・

後で、嫌な思いをしないように上司の指示を受け犯人探しをした方が宜しいかと思います。 ＞リモートでログインしたパソコンのホスト名やIPアドレスを知る方法＞でもかまいません 簡単な方法としてログインスクリプト（例えば、/etc/profile等）を変更すればIP、ログイン名、ログインした時間などをファイルにおとす事が可能です。

管理者権限は、お持ちでしょうか？ お持ちでなければ、そのサーバーの管理者に相談すれば ログを見るなり、これから監視するなりの手段を 講じていただけると思います。

最大の問題点はシステム管理者が居ないことです！！ 　他の方がアドバイスしているようにログを残して証拠的なリストを作ったとして、そのリストは偽造されたものだと反論されたらどうします？　システム管理者が居れば、その職権で偽造されていないと主張すれば、それなりに信頼されるでしょうが・・・一般ユーザーである御質問者様が　どのようなリストを作っても万民が認める証拠とは言いがたい気がします。 　まずは会社の上司の方と相談し、会社がシステム管理者と認定した人に、この問題を解決するように職務命令を出すことが解決の一歩ではと思います。 　その後は、psコマンドなどで実行されているコマンドのログを記録するなりして、証拠に基づいて対応すれば解決？　と思います。

Sunではないので参考として書きますが、 WindowsServerでは日本語処理にトラブルがあり、 Server上のデータが違うフォルダに飛んだり 自動削除されたりしてました。 こういったバグが原因という事も考えられるので、 その人が犯人だと決め付けるのは早計かもしれません。 ＞データが消されるタイミングもその人が会社に来ている時で、恐らくその人であると確信しています。 100%上記のタイミングならそうかも知れませんけどね。

出来ればNo.4方が書いたようにプロセスアカウントを取れば何時そのホスト上のどのアカウント(ユーザ)がどのコマンドをいつどの端末で実行したかが分かると思います。 これだけだと根拠にかけるので、ログイン履歴(wtmp)も取られているとどのホスト(PC/マシン)からどの端末でログインして来たかが分かりますので、この情報とプロセスアカウントの情報から、どのホスト(PC/マシン)からアクセスして来たユーザがどのコマンドを実行したかを結びつけられます。 実際にどんなコマンドイメージで実行されたかは、NO.5の方が書かれたようにコマンドにラッパーをかぶせて日時、実行ユーザ、実行コマンドイメージ等をファイルに書き出すようなものを作成すればいいと思います。 私もこういう用途ではないですが、あるコマンドのラッパーを作成し、どのようなコマンドイメージで実行されたかをログに出力するコマンドを作成した事があるので可能だと思います。

rmコマンドをログを出力しつつ従来のrmの動きを行うようなシェルなどに置き換えてみてはいかがでしょうか？（試したことがないのでちゃんと動くかわかりませんが・・・）

SunOS4.0とはふるいですね。 プロセスアカウント機能をオンにすると、誰がいつどのようなプログラムを動かしたかわかります。 それで、リモートログインしてrmコマンドをたたいているのなら、たたいた人と時刻はわかります。 ただ、rmの対象になったファイルがなにかはわかりませんが。。。 プロセスアカウント機能を使うときは定期的に記録を消すことを忘れないでください。ほうっておくとディスクがあふれます。

＞CADのデータなのですが、私のデータを勝手に削除する者がいます。 実は、あなたの操作ミスで消えているのでは？ 他人が消している、という証拠を上げてください。 まずは、自分の作成したデータは、USBメモリーなどにバックアップする習慣を 身に付けましょう。