LINUX下如何使用inotify监控文件系统事件_实现文件变化的实时告警

首先确认内核支持inotify功能，通过grep CONFIG_INOTIFY_USER /boot/config-$(uname -r)检查是否启用；接着安装inotify-tools工具集，使用sudo apt update和sudo apt install inotify-tools完成安装并验证；然后用inotifywait命令持续监控指定目录的文件变化事件；再结合shell脚本实现事件触发后的告警通知，将信息写入日志；最后可使用inotifywatch统计文件访问频率，获取操作行为汇总。

如果您希望在LINUX系统中实时监控文件或目录的变化，并在发生修改、创建、删除等操作时立即获得通知，可以利用inotify机制实现对文件系统事件的捕捉。以下是具体实施步骤：

本文运行环境：Dell XPS 13，Ubuntu 22.04

一、确认内核支持inotify功能

inotify是Linux内核提供的一个子系统，用于监控文件系统事件。在使用之前需要确保当前系统内核已启用该功能。

1、打开终端，执行命令 grep CONFIG_INOTIFY_USER /boot/config-$(uname -r) 检查配置项是否存在且设置为y。

2、如果返回结果为 CONFIG_INOTIFY_USER=y，则表示系统支持inotify；若无输出或值为n，则需更换内核或启用该选项。

二、安装inotify-tools工具集

inotify-tools提供了一组用户态命令行工具，便于直接使用inotify接口进行监控，无需编写C代码。

1、更新软件包索引：sudo apt update。

2、安装inotify-tools：sudo apt install inotify-tools。

3、验证安装是否成功，运行 inotifywait --help 和 inotifywatch --help 查看帮助信息。

三、使用inotifywait监控指定目录

inotifywait是一个阻塞式工具，能够监听单次或多轮文件系统事件，适用于脚本中触发响应动作。

1、创建一个待监控的测试目录：mkdir ~/test_monitor。

2、启动监控命令：inotifywait -m -e create,delete,modify,move ~/test_monitor，其中-m表示持续监控模式。

3、在另一个终端中对 ~/test_monitor 目录执行如新建文件、删除文件等操作，观察第一个终端输出的实时事件记录。

四、结合shell脚本实现告警通知

通过将inotifywait与自定义脚本结合，可以在检测到特定事件时执行告警逻辑，例如发送日志、调用通知接口等。

Unscreen

AI智能视频背景移除工具

331

查看详情

1、编写脚本文件：nano ~/monitor_script.sh，输入以下内容：

#!/bin/bash

inotifywait -m -e create,delete,modify,move --format '%T %w%f %e' --timefmt '%Y-%m-%d %H:%M:%S' ~/test_monitor | while read file event; do

  echo "ALERT: $event was $file" >> /tmp/fs_alert.log

  logger "FileSystem Alert: $event on $file"

done

2、保存后赋予执行权限：chmod +x ~/monitor_script.sh。

3、后台运行脚本：nohup ~/monitor_script.sh &，此时任何变更都会被记录并触发系统日志写入。

五、使用inotifywatch统计文件访问频率

inotifywatch用于收集被监控文件系统的统计数据，如读取、写入、访问次数等，适合分析行为模式。

1、停止其他监控进程，确保目标目录处于空闲状态。

2、启动统计监控：inotifywatch -v -e access,modify,create,delete -t 60 -r ~/test_monitor，表示递归监控60秒。

3、在另一终端对目录进行若干操作，等待计时结束后查看屏幕输出的汇总报告，包括每个事件类型的触发次数。

以上就是LINUX下如何使用inotify监控文件系统事件_实现文件变化的实时告警的详细内容，更多请关注php中文网其它相关文章！