Привет всем уважаемым форумчанам. Помогите разобраться кое с чем из области форенсис, как оказывается это называется. Я уже разобрался, как найти файлы, процессы и так далее по временным меткам. -ctime, -mtime, -atime. Найти то нашел, но как понять, к чему приложила руку «система», а к чему юзер? Если коротко: из анализа каких каталогов, подкаталогов, файлов, можно сделать вывод: здесь был юзер? Мануалы в основном сводятся к общему описанию самых верхних в иерархии каталогов, максимум подкаталогов, причем без конкретики, которая меня интересует.