我正在运行 RHEL 的 STIG 版本,但我无法弄清楚我所有的逻辑卷是如何映射的。
/dev/mapper/vg1_audit
似乎指向/dev/dm-2
/dev/vg1/lv_audit
似乎也映射到/dev/dm-2
运行lsblk
显示这些卷安装在 上/var/log/audit
,但我在cat
每个卷上运行时看到不同的结果。
当 Icat /var/log/audit.log
和 时audit.log.1
,它们是空白的(因为我用 清除了它们truncate
)。但是,运行 a cat /dev/mapper/vg1_audit
and时/dev/dm-2
,它会打印出一个包含日志数据的巨大文件。
我不确定这个日志存储在哪里或谁在写入它。我也无法使用truncate
FWIW 清除它。
这是正确的(有一些拼写错误),这
/dev/dm-2
是代表逻辑卷的设备映射器lv_audit
设备。/dev/mapper/vg1-lv_audit
并且/dev/vg1/lv_audit
只是 LVM 创建的用户友好的符号链接。/dev/var/log/audit.log
没有意义。/dev
保存代表块设备的文件,而不是设备的内容,这就是挂载点的用途,所以内容在/var/log/audit
.运行
cat /dev/dm-2
直接从块设备读取,因此您可以获得设备的全部原始内容。truncate
不会用零覆盖文件,它只是更改其大小,因此数据仍然物理存在于磁盘上,直到被其他内容覆盖。当您简单地删除文件时也会发生这种情况 - 数据仍然存在并且可以恢复直到被覆盖但文件不再存在(或占用空间以防万一)truncate
。