写到我的/dev/dm-2卷的内容是什么？

Question

我正在运行一个STIG版本的RHEL，我很难弄清楚我所有的逻辑卷是如何映射的。

/dev/mapper/vg1_audit似乎指向了/dev/dm-2

/dev/vg1/lv_audit似乎也可以映射到/dev/dm-2

运行一个lsblk显示，这些卷是在/var/log/audit上挂载的，但是当我在每个卷上运行cat时，会看到不同的结果。

当我使用cat /var/log/audit.log和audit.log.1时，它们是空白的(因为我用truncate清除了它们)。但是，在运行cat /dev/mapper/vg1_audit和/dev/dm-2时，它会输出一个包含日志数据的巨大文件。

我不知道这日志存放在哪里，也不知道是谁写的。我也不能用truncate，FWIW清除它。

Answer 1

/dev/mapper/vg1_audit似乎指向/dev/dm_2 /dev/vg1/lv_audit，也似乎映射到/dev/dm_2

这是正确的(有些排字)，/dev/dm-2是表示逻辑卷lv_audit的设备映射器设备。/dev/mapper/vg1-lv_audit和/dev/vg1/lv_audit只是由LVM创建的用户友好的符号链接。

当我猫/dev/var/log/audit.log

/dev/var/log/audit.log没有道理。/dev保存代表块设备的文件，而不是设备的内容，这就是挂载点的用途，所以内容在/var/log/audit中。

但是，在运行cat /dev/mapper/vg1_audit和/dev/dm_2时，它会输出一个包含日志数据的巨大文件。

运行cat /dev/dm-2直接从块设备读取，因此您可以获得设备的全部原始内容。truncate不会用零覆盖文件，它只是改变了它的大小，所以在被其他东西覆盖之前，数据仍然物理地存在于磁盘上。这也是当您只是删除一个文件时所发生的事情--数据仍然存在，并且可以恢复到覆盖，但该文件不再存在(或者在truncate情况下占用空间)。