用inotifywait命令监听文件或目录的访问信息

时间 2019-11-26

标签 inotifywait 命令监听文件目录访问信息繁體版

原文原文链接

Inotify一种强大的、细粒度的、异步文件系统监控机制，它知足各类各样的文件监控须要，能够监控文件系统的访问属性、读写属性、权限属性、删除建立、移动等操做，也就是能够监控文件发生的一切变化。。linux

inotify-tools是一个C库和一组命令行的工做提供Linux下inotify的简单接口。inotify-tools安装后会获得inotifywait和inotifywatch这两条命令：git

inotifywait命令能够用来收集有关文件访问信息，Linux发行版通常没有包括这个命令，须要安装inotify-tools，这个命令还须要将inotify支持编译入Linux内核，好在大多数Linux发行版都在内核中启用了inotify。
inotifywatch命令用于收集关于被监视的文件系统的统计数据，包括每一个 inotify 事件发生多少次。

开始以前须要检测系统内核是否支持inotify：github

使用uname -r命令检查Linux内核，若是低于2.6.13，就须要从新编译内核加入inotify的支持。bash

使用ll /proc/sys/fs/inotify命令，是否有如下三条信息输出，若是没有表示不支持。异步

ll /proc/sys/fs/inotify
total 0
-rw-r--r-- 1 root root 0 Jan  4 15:41 max_queued_events
-rw-r--r-- 1 root root 0 Jan  4 15:41 max_user_instances
-rw-r--r-- 1 root root 0 Jan  4 15:41 max_user_watches

安装inotify-tools

inotify-tools项目地址：https://github.com/rvoicilas/inotify-tools
inotify-tools下载地址：http://github.com/downloads/rvoicilas/inotify-tools/inotify-tools-3.14.tar.gz

tar zxvf inotify-tools-3.14.tar.gz
cd inotify-tools-3.14
./configure
make
make install

其余Linux发行版安装方法能够参见：https://github.com/rvoicilas/inotify-tools/wiki#wiki-gettingjsp

inotify相关参数

inotify定义了下列的接口参数，能够用来限制inotify消耗kernel memory的大小。因为这些参数都是内存参数，所以，能够根据应用需求，实时的调节其大小：spa

/proc/sys/fs/inotify/max_queued_evnets表示调用inotify_init时分配给inotify instance中可排队的event的数目的最大值，超出这个值的事件被丢弃，但会触发IN_Q_OVERFLOW事件。
/proc/sys/fs/inotify/max_user_instances表示每个real user ID可建立的inotify instatnces的数量上限。
/proc/sys/fs/inotify/max_user_watches表示每一个inotify instatnces可监控的最大目录数量。若是监控的文件数目巨大，须要根据状况，适当增长此值的大小。

根据以上在32位或者64位系统均可以执行：命令行

echo 104857600 > /proc/sys/fs/inotify/max_user_watches
echo 'echo 104857600 > /proc/sys/fs/inotify/max_user_watches' >> /etc/rc.local

若是遇到如下错误：code

inotifywait: error while loading shared libraries: libinotifytools.so.0: cannot open shared object file: No such file or directory

解决方法：
32位系统：ln -s /usr/local/lib/libinotifytools.so.0 /usr/lib/libinotifytools.so.0
64位系统：ln -s /usr/local/lib/libinotifytools.so.0 /usr/lib64/libinotifytools.so.0

inotifywait命令使用

#!/bin/bash
#filename watchdir.sh
path=$1
/usr/local/bin/inotifywait -mrq --timefmt '%d/%m/%y/%H:%M' --format '%T %w %f' -e modify,delete,create,attrib $path

执行输出：

./watchdir.sh /data/wsdata/tools/
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swp
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swx
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swx
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swp
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swp
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swp
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swp
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swp
04/01/13/16:35 /data/wsdata/tools/ 4913
04/01/13/16:35 /data/wsdata/tools/ 4913
04/01/13/16:35 /data/wsdata/tools/ 4913
04/01/13/16:35 /data/wsdata/tools/ j.jsp
04/01/13/16:35 /data/wsdata/tools/ j.jsp
04/01/13/16:35 /data/wsdata/tools/ j.jsp
04/01/13/16:35 /data/wsdata/tools/ j.jsp~
04/01/13/16:35 /data/wsdata/tools/ .j.jsp.swp

inotifywait命令参数

-m是要持续监视变化。
-r使用递归形式监视目录。
-q减小冗余信息，只打印出须要的信息。
-e指定要监视的事件列表。
--timefmt是指定时间的输出格式。
--format指定文件变化的详细信息。

可监听的事件

事件	描述
access	访问，读取文件。
modify	修改，文件内容被修改。
attrib	属性，文件元数据被修改。
move	移动，对文件进行移动操做。
create	建立，生成新文件.
open	打开，对文件进行打开操做。
close	关闭，对文件进行关闭操做。
delete	删除，文件被删除。