在我们的环境中,我们有 RHEL7 系统,需要始终启动并运行。我知道获取取证图像的首选方法是使系统离线,但如果是实时图像,首选方法是什么?
将根文件系统添加到单独的分区会不一致,因为在此过程中文件可能会发生更改
我们的系统使用LVM,所以也许我们可以使用lvconvert来镜像每个lvol,将其从VG中取出,然后对其进行dd?
我们可以利用软件RAID 1创建镜像磁盘,然后以某种方式破坏它吗?
需要注意的是,无法安装第三方工具,一切都应该使用 RHEL7 默认软件来完成。
答案1
从正在运行的系统中获取正确的取证图像是不可能的。
阅读问题讨论后...您可以尝试通过调用“sync”来缩小问题计数,重新挂载 RO 中的所有文件系统并获取文件系统映像。更好的是,如果你有同步镜像,你可以在 RO 中重新安装它。