По какому факту? Ты понимаешь, что iotop в упор не видит
"коротких", да и вообще ~половины записей, он хорошо показывает
только когда кто-то пишет мегабайтами (так сделано, через жопу). И
что "журналирование" просто так ничего не пишет. Я тебе давал
наводку: сдампить сисколлы (sysdig) и смотреть кто конкретно пишет.
Но дальше начинается, линукс -- помойка, у него в API ~300+ функций
и перечислить ответственные за запись не так-то просто. Искать
изменённые файлы тоже дело гиблое: писать могут в удалённый файл. Можно поиграться с lsof и посмотреть у кого что открыто на запись кстати. На stackoverflow пишут вот дельное (см. ссылку), но оно на удалённой машине всё стрёмно пробовать даже -- надо вначале 100%-но сислог переправить по сети на другую машину. И с аудитом опять же проблема, что пишущие сисколлы по пальцам одной руки не сосчитать: это же не только write, pwrite, writev или msync, это может быть open/openat/creat/close с флагами, truncate/ftruncate, rename, mkdir/mkdirat, rmdir, link, unlink, symlink, chmod/fchmod, chown/fchown, mknod/mknodat, utime/utimes... список много больше. И самое главное, мне что-то кажется, что самостоятельные записи ядром в замапленный файл ты вообще не увидишь, ибо с сисколлами оно никак не связано. Проще сделать ro и смотреть кто сломается.
https://unix.stackexchange.com/questions/44103/how-to-find-which-process-is-regularly-writing-to-disk