ВходНаше всё Теги codebook 无线电组件 Поиск Опросы Закон Воскресенье
24 ноября
1011493 Топик полностью
fk0, легенда (11.06.2020 11:13, просмотров: 759) ответил Cкpипaч на По факту, в файловую систему лазит только журналирование. Проблемы нужно решать - по мере их возникновения.
По какому факту? Ты понимаешь, что iotop в упор не видит "коротких", да и вообще ~половины записей, он хорошо показывает только когда кто-то пишет мегабайтами (так сделано, через жопу). И что "журналирование" просто так ничего не пишет. Я тебе давал наводку: сдампить сисколлы (sysdig) и смотреть кто конкретно пишет. Но дальше начинается, линукс -- помойка, у него в API ~300+ функций и перечислить ответственные за запись не так-то просто. Искать изменённые файлы тоже дело 

гиблое: писать могут в удалённый файл. Можно поиграться с lsof и посмотреть у кого что открыто на запись кстати. На stackoverflow пишут вот дельное (см. ссылку), но оно на удалённой машине всё стрёмно пробовать даже -- надо вначале 100%-но сислог переправить по сети на другую машину. И с аудитом опять же проблема, что пишущие сисколлы по пальцам одной руки не сосчитать: это же не только write, pwrite, writev или msync, это может быть open/openat/creat/close с флагами, truncate/ftruncate, rename, mkdir/mkdirat, rmdir, link, unlink, symlink, chmod/fchmod, chown/fchown, mknod/mknodat, utime/utimes... список много больше. И самое главное, мне что-то кажется, что самостоятельные записи ядром в замапленный файл ты вообще не увидишь, ибо с сисколлами оно никак не связано. Проще сделать ro и смотреть кто сломается.


https://unix.stackexchange.com/questions/44103/how-to-find-which-process-is-regularly-writing-to-disk

[ZX]