Небольшой совет. Я только что узнал, что лицензия TrueCrypt содержит легальное "прерывание", которое позволяет им предъявлять иск любому пользователю программного обеспечения, даже пользователь следует за 100% условий лицензионного соглашения.
http://lists.freedesktop.org/archives/distributions/2008-October/000276.html
Им сообщил об этом давным-давно Fedora и не сделали зафиксировал его в текущей версии, таким образом, это кажется мне, это - на самом деле преднамеренное прерывание.
Вы можете использовать inotify ( http://inotify-tools.sourceforge.net/ , дистрибутив, который вы используете, скорее всего, имеет пакет для этого) для просмотра каталог журналов и посмотрите, есть ли там повышенная активность. Точно так же вы можете наблюдать за остальной файловой системой, чтобы увидеть, куда идет запись. Используйте что-то вроде
inotifywatch -r /var/log -e modify -t <timeout>
После того, как вы определили файл, в который выполняется запись, вы можете использовать что-то вроде lsof (опять же, скорее всего, доступное в виде пакета в вашем дистрибутиве), чтобы увидеть, какие программы обращаются к этому файлу, например
lsof /var/log/<file>
If new файлы записываются или дескриптор файла не остается открытым, вы можете комбинировать inotify и lsof, например
inotifywait -e modify /var/log/<file>; lsof -p /var/log/<file>
Если ничего из этого не помогает, посмотрите что-нибудь вроде SystemTap ( http://sourceware.org/systemtap / ), хотя для этого может потребоваться компиляция / установка специального ядра.