我正在运行 STIG 版本的 RHEL,并且无法确定所有逻辑卷的映射方式。
/dev/mapper/vg1_audit似乎指向/dev/dm-2
/dev/vg1/lv_audit似乎也映射到/dev/dm-2
运行lsblk显示这些卷已安装在 上/var/log/audit,但当我在每个卷上运行时,我看到不同的结果cat。
当我cat /var/log/audit.log和时audit.log.1,它们是空白的(因为我用 清除了它们truncate)。然而,运行cat /dev/mapper/vg1_auditand /dev/dm-2,它会打印出一个包含日志数据的巨大文件。
我不确定此日志存储在哪里或谁在写入它。我也无法使用truncateFWIW 清除它。
答案1
/dev/mapper/vg1_audit似乎指向/dev/dm_2
/dev/vg1/lv_audit似乎也映射到/dev/dm_2
这是正确的(有一些错别字),/dev/dm-2是设备映射器代表逻辑卷的设备lv_audit。/dev/mapper/vg1-lv_audit它们/dev/vg1/lv_audit只是 LVM 创建的用户友好的符号链接。
当我养猫的时候
/dev/var/log/audit.log
/dev/var/log/audit.log没有意义。/dev保存代表块设备的文件,而不是设备的内容,这就是挂载点的用途,因此内容位于/var/log/audit.
然而,运行 cat
/dev/mapper/vg1_audit和/dev/dm_2,它会打印出一个包含日志数据的巨大文件。
运行cat /dev/dm-2直接从块设备读取,以便您获得设备的全部原始内容。truncate不会用零覆盖文件,它只是更改其大小,因此数据在物理上仍然存在于磁盘上,直到被其他内容覆盖。当您简单地删除文件时也会发生这种情况 - 数据仍然存在并且可以恢复,直到被覆盖,但文件不再存在(或在这种情况下占用空间truncate)。