RHELのSTIGバージョンを実行していますが、すべての論理ボリュームがどのようにマップされているのかわかりません。
/dev/mapper/vg1_audit
指しているようだ/dev/dm-2
/dev/vg1/lv_audit
また、マッピングされているようです。/dev/dm-2
実行すると、ボリュームはlsblk
マウント済みとしてマークされますが、/var/log/audit
各ボリュームで実行すると異なる結果が表示されますcat
。
Icat /var/log/audit.log
とaudit.log.1
は空です(消去されているためですが、およびを実行すると、truncate
ログcat /dev/mapper/vg1_audit
データ/dev/dm-2
を含む大容量ファイルが印刷されます。
このログがどこに保存されているのか、誰が記録しているのかわかりません。 FWIWを使用しても消去できませんtruncate
。
答え1
/dev/mapper/vg1_audit
指しているようだ/dev/dm_2
/dev/vg1/lv_audit
また、マッピングされているようです。/dev/dm_2
そうです(少し誤字があります)、/dev/dm-2
はいデバイスマッパー論理ボリュームを表す装置ですlv_audit
。/dev/mapper/vg1-lv_audit
これは/dev/vg1/lv_audit
LVMによって作成されたユーザーフレンドリーなシンボリックリンクです。
私が猫を育てたとき
/dev/var/log/audit.log
/dev/var/log/audit.log
無意味。/dev
デバイスの内容ではなく、ブロックデバイスを表すファイルを保存します。これはマウントポイントの目的なので、内容は/var/log/audit
。
ただし、cat
/dev/mapper/vg1_audit
とを実行すると、/dev/dm_2
ログデータを含む大容量ファイルが印刷されます。
cat /dev/dm-2
デバイスの完全な生コンテンツを取得できるように、ブロックデバイスから直接読み取りを実行します。truncate
ファイルはゼロで上書きされず、サイズのみが変更されるため、他の項目で上書きされるまで、データはディスク上に物理的に存在し続けます。これは、単にファイルを削除しても発生します。データはまだそこにあり、上書きされるまで回復できますが、ファイルはもう存在しません(またはこの場合はスペースを取りますtruncate
)。