RHEL의 STIG 버전을 실행 중인데 모든 논리 볼륨이 어떻게 매핑되어 있는지 알 수 없습니다.
/dev/mapper/vg1_audit가리키는 것 같다/dev/dm-2
/dev/vg1/lv_audit또한 매핑되는 것 같습니다./dev/dm-2
실행하면 lsblk볼륨이 마운트된 것으로 표시되지만 /var/log/audit각 볼륨에서 실행하면 다른 결과가 나타납니다 cat.
I cat /var/log/audit.log및 audit.log.1는 비어 있습니다( 로 지워버렸기 때문입니다 truncate. 그러나 및 을 실행하면 cat /dev/mapper/vg1_audit로그 /dev/dm-2데이터가 포함된 대용량 파일이 인쇄됩니다.
이 로그가 어디에 저장되어 있는지, 누가 기록하고 있는지 잘 모르겠습니다. FWIW를 사용해도 지울 수 없습니다 truncate.
답변1
/dev/mapper/vg1_audit가리키는 것 같다/dev/dm_2
/dev/vg1/lv_audit또한 매핑되는 것 같습니다./dev/dm_2
맞습니다(약간의 오타가 있음), /dev/dm-2예장치 매퍼논리 볼륨을 나타내는 장치입니다 lv_audit. /dev/mapper/vg1-lv_audit이는 /dev/vg1/lv_auditLVM에서 생성한 사용자 친화적인 심볼릭 링크일 뿐입니다.
내가 고양이를 키웠을 때
/dev/var/log/audit.log
/dev/var/log/audit.log무의미한. /dev장치의 내용이 아닌 블록 장치를 나타내는 파일을 저장하십시오. 이는 마운트 지점의 목적이므로 내용은 /var/log/audit.
그러나 cat
/dev/mapper/vg1_audit및 을 실행하면/dev/dm_2로그 데이터가 포함된 대용량 파일이 인쇄됩니다.
cat /dev/dm-2장치의 전체 원시 콘텐츠를 얻을 수 있도록 블록 장치에서 직접 읽기를 실행합니다 . truncate파일은 0으로 덮어쓰이지 않고 크기만 변경되므로 다른 항목으로 덮어쓸 때까지 데이터는 디스크에 물리적으로 계속 존재합니다. 이는 단순히 파일을 삭제하는 경우에도 발생합니다. 데이터는 여전히 거기에 있고 덮어쓸 때까지 복구할 수 있지만 파일은 더 이상 존재하지 않습니다(또는 이 경우 공간을 차지합니다 truncate).