Você poderia usar inotify ( link , a distribuição que você está usando provavelmente tem um pacote para isso) para assistir ao log diretório e veja se há aumento da atividade lá. Da mesma forma, você pode assistir ao resto do sistema de arquivos para ver onde as gravações vão. Use algo como
inotifywatch -r /var/log -e modify -t <timeout>
Depois de ter identificado o arquivo que está escrito, você pode usar algo como lsof (novamente, provavelmente disponível como um pacote em sua distribuição) para ver quais programas acessam esse arquivo, como
lsof /var/log/<file>
Se novos arquivos estão sendo escritos ou o descritor de arquivos não é mantido aberto, você pode combinar inotify e lsof como
inotifywait -e modify /var/log/<file>; lsof -p /var/log/<file>
Se nada disso ajudar, dê uma olhada em algo como o SystemTap ( link ), embora isso possa exigir que você compile / instale um kernel especial.