用inotifywait命令監聽文件或目錄的訪問信息

時間 2019-11-26

標籤 inotifywait 命令監聽文件目錄訪問信息简体版

原文原文鏈接

Inotify一種強大的、細粒度的、異步文件系統監控機制，它知足各類各樣的文件監控須要，能夠監控文件系統的訪問屬性、讀寫屬性、權限屬性、刪除建立、移動等操做，也就是能夠監控文件發生的一切變化。。linux

inotify-tools是一個C庫和一組命令行的工做提供Linux下inotify的簡單接口。inotify-tools安裝後會獲得inotifywait和inotifywatch這兩條命令：git

inotifywait命令能夠用來收集有關文件訪問信息，Linux發行版通常沒有包括這個命令，須要安裝inotify-tools，這個命令還須要將inotify支持編譯入Linux內核，好在大多數Linux發行版都在內核中啓用了inotify。
inotifywatch命令用於收集關於被監視的文件系統的統計數據，包括每一個 inotify 事件發生多少次。

開始以前須要檢測系統內核是否支持inotify：github

使用uname -r命令檢查Linux內核，若是低於2.6.13，就須要從新編譯內核加入inotify的支持。bash

使用ll /proc/sys/fs/inotify命令，是否有如下三條信息輸出，若是沒有表示不支持。異步

ll /proc/sys/fs/inotify
total 0
-rw-r--r-- 1 root root 0 Jan  4 15:41 max_queued_events
-rw-r--r-- 1 root root 0 Jan  4 15:41 max_user_instances
-rw-r--r-- 1 root root 0 Jan  4 15:41 max_user_watches

安裝inotify-tools

inotify-tools項目地址：https://github.com/rvoicilas/inotify-tools
inotify-tools下載地址：http://github.com/downloads/rvoicilas/inotify-tools/inotify-tools-3.14.tar.gz

tar zxvf inotify-tools-3.14.tar.gz
cd inotify-tools-3.14
./configure
make
make install

其餘Linux發行版安裝方法能夠參見：https://github.com/rvoicilas/inotify-tools/wiki#wiki-gettingjsp

inotify相關參數

inotify定義了下列的接口參數，能夠用來限制inotify消耗kernel memory的大小。因爲這些參數都是內存參數，所以，能夠根據應用需求，實時的調節其大小：spa

/proc/sys/fs/inotify/max_queued_evnets表示調用inotify_init時分配給inotify instance中可排隊的event的數目的最大值，超出這個值的事件被丟棄，但會觸發IN_Q_OVERFLOW事件。
/proc/sys/fs/inotify/max_user_instances表示每個real user ID可建立的inotify instatnces的數量上限。
/proc/sys/fs/inotify/max_user_watches表示每一個inotify instatnces可監控的最大目錄數量。若是監控的文件數目巨大，須要根據狀況，適當增長此值的大小。

根據以上在32位或者64位系統均可以執行：命令行

echo 104857600 > /proc/sys/fs/inotify/max_user_watches
echo 'echo 104857600 > /proc/sys/fs/inotify/max_user_watches' >> /etc/rc.local

若是遇到如下錯誤：code

inotifywait: error while loading shared libraries: libinotifytools.so.0: cannot open shared object file: No such file or directory

解決方法：
32位系統：ln -s /usr/local/lib/libinotifytools.so.0 /usr/lib/libinotifytools.so.0
64位系統：ln -s /usr/local/lib/libinotifytools.so.0 /usr/lib64/libinotifytools.so.0

inotifywait命令使用

#!/bin/bash
#filename watchdir.sh
path=$1
/usr/local/bin/inotifywait -mrq --timefmt '%d/%m/%y/%H:%M' --format '%T %w %f' -e modify,delete,create,attrib $path

執行輸出：

./watchdir.sh /data/wsdata/tools/
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swp
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swx
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swx
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swp
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swp
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swp
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swp
04/01/13/16:34 /data/wsdata/tools/ .j.jsp.swp
04/01/13/16:35 /data/wsdata/tools/ 4913
04/01/13/16:35 /data/wsdata/tools/ 4913
04/01/13/16:35 /data/wsdata/tools/ 4913
04/01/13/16:35 /data/wsdata/tools/ j.jsp
04/01/13/16:35 /data/wsdata/tools/ j.jsp
04/01/13/16:35 /data/wsdata/tools/ j.jsp
04/01/13/16:35 /data/wsdata/tools/ j.jsp~
04/01/13/16:35 /data/wsdata/tools/ .j.jsp.swp

inotifywait命令參數

-m是要持續監視變化。
-r使用遞歸形式監視目錄。
-q減小冗餘信息，只打印出須要的信息。
-e指定要監視的事件列表。
--timefmt是指定時間的輸出格式。
--format指定文件變化的詳細信息。

可監聽的事件

事件	描述
access	訪問，讀取文件。
modify	修改，文件內容被修改。
attrib	屬性，文件元數據被修改。
move	移動，對文件進行移動操做。
create	建立，生成新文件.
open	打開，對文件進行打開操做。
close	關閉，對文件進行關閉操做。
delete	刪除，文件被刪除。