Linux文件监控机制 inotify

最新推荐文章于 2024-07-11 14:09:16 发布
最新推荐文章于 2024-07-11 14:09:16 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: Linux 文章标签: Linux inotify 文件监控 tail -f实现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lis_12/article/details/88831638
版权

详见GitHub

/*
 * 监控文件事件, 自内核2.6.13起, Linux开始提供inotify机制, 以允许应用程序监控文件事件
 * inotify机制可用于监控文件或目录, 当监控目录时, 与路径自身及其所含文件相关的事件都会通知给应用程序
 * inotify监控机制为非递归, 若应用程序有意控制整个目录子树内的事件, 需要对该树中的每个目录发起inotify_add_watch()调用
 * (即只监控当前目录的变化)
 * 应用程序在结束监控时会关闭inotify文件描述符, 自动清除与inotify实例相关的所有监控项
 *
 *
 * 以下均为系统调用
 * #include<sys/inotify.h>
 * int inotify_init();
 *      return descriptor on success, -1 on error
 *      创建新的inotify实例, 返回的文件描述符用于表示inotify实例
 *
 * int inotify_add_watch(int fd, const char *path, uint_32 mask);
 *      return watch descriptor on success, or -1 on error, 返回被监控文件的描述符
 *      向inotify实例中新增/修改监控项, 必须有文件的读权限, 重复添加相同路径的文件, 视为修改
 *      fd:   inotify实例
 *      path: 要用绝对路径, 欲创建或修改的监控项所对应的文件, 如果文件已添加过, 视为修改
 *      mask: 掩码, 针对path定义了意欲监控的事件
 *            IN_ACCESS         文件被访问
 *            IN_ATTRIB	        文件属性发生变化(文件元数据改变, 如权限, 链接计数, 扩展属性, 用户ID或组ID等)
 *            IN_CLOSE_WRITE	关闭以write方式打开的文件
 *            IN_CLOSE_NOWRITE	关闭以非write方式打开的文件
 *            IN_CREATE	        在受监控目录内创建了文件/目录
 *            IN_DELETE	        在受监控目录内删除了文件/目录
 *            IN_DELETE_SELF	被监测的文件/目录被删除
 *            IN_MODIFY	        文件被修改
 *            IN_MOVE_SELF	    移动受监测的文件或目录
 *            IN_MOVED_FROM	    文件移出被监测的目录
 *            IN_MOVED_TO	    文件移入被监测的目录
 *            IN_OPEN	        文件被打开
 *         上述flag的集合
 *            IN_ALL_EVENTS	    以上所有flag的集合
 *            IN_MOVE	        IN_MOVED_TO + IN_MOVED_FROM
 *            IN_CLOSE	        IN_CLOSE_WRITE + IN_CLOSE_NOWRITE
 *         不常用的flag
 *            IN_DONT_FOLLOW	不对符号链接解引用, 监控符号链接自身
 *            IN_MASK_ADD	    将事件追加到pathname的当前监控掩码
 *            IN_ONESHOT	    只监测一个事件, 事件发生后, 被监控项会从监控列表中消失
 *            IN_ONLYDIR	    只监测目录
 *            IN_IGNORED	    监控项被内核或应用程序移除
 *            IN_ISDIR	        发生事件的是一个目录
 *            IN_Q_OVERFLOW	    Event队列溢出
 *            IN_UNMOUNT	    文件系统unmount
 *
 * int inotify_rm_watch(int fd, uint32_t wd);
 *      return 0 on success, or -1 on error
 *      从fd中删除wd指定的监控项
 *      fd: inotify实例, 即inotify_init()的返回值
 *      wd: 向inotify实例中添加需要被监控的描述符, 即inotify_add_watch()的返回值
 *
 * 将监控项在监控列表中登记后, 应用程序可用read()从inotify文件描述符中读取事件, 以判定发生了哪些事件
 * 事件发生后, 每次调用read()会返回一个缓冲区, 内含一个/多个如下结构
 * read()会阻塞下去, 直至有事件发生, 除非对文件描述符设置了O_NONBLOCK状态标志
 * struct inotify_event {
 *      int      wd;       Watch descriptor, 发生事件的监控描述符
 *      uint32_t mask;     Mask of events
 *      uint32_t cookie;   Unique cookie associating related events (for rename(2))
 *                         使用该字段可将相关事件联系到一起, 目前只有对文件重命名时才会用到该字段
 *      uint32_t len;      Size of name field
 *      char     name[];   Optional null-terminated name
 *  };
 *  单个inotify事件的长度: sizeof(struct inotify_event) + len,如果传递给read()的缓冲区过小, 无法容纳一个inotify_event结
 *  构, read()调用将以失败告终. 所以传递给read()的缓存区至少为sizeof(struct inotify_event) + NAME_MAX + 1
 *      NAME_MAX: 文件名的最大长度
 *      1: 终止字符, '\0'
 *
 * 从inotify文件描述符中读取的事件根据事件发生顺序形成一个有序队列.
 * 在文件队列的末尾追加一个新事件时, 如果此事件与队列尾部事件拥有相同的wd, mask, cookie, mask值, 那么内核会将两者合并,
 * 之所以这么做, 是因为很多应用程序并不关注事件的反复出现, 丢弃多余的事件能降低内核维护事件队列所需的内存. 这也意味着
 * 使用inotify将无法可靠判定出周期性事件的发生次数或频率
 *
 *
 * 队列限制和/proc文件
 * 因为inotify事件做了排队处理, 需要消耗内核内存, 所以, 内核会对inotify机制的操作施以各种限制,
 * root用户可在/proc/sys/fs/inotify中的三个文件来调整限制
 *      max_queued_events,默认为16384
 *          调用inotify_init()时, 该值作为实例队列中事件数量上限, 超出该值, 将生成IN_Q_OVERFLOW事件, 并丢弃多余的事件.
 *          溢出事件的wd字段值为-1
 *      max_user_instances, 默认为128
 *         每个真实用户ID创建inotify实例数量的限制值
 *      max_user_watches, 默认为8192
 *         每个真实用户ID创建的监控数量的限制值
 *
 *
 */

#include <sys/inotify.h>
#include <fcntl.h>
#include <limits.h>
#include <stdio.h>
#include "error_functions.h"

/* Display information from inotify_event structure */
void displayInotifyEvent(struct inotify_event *i) {
    printf("    wd =%2d; ", i->wd);
    if (i->cookie > 0)
        printf("cookie =%4d; ", i->cookie);

    printf("mask = ");
    if (i->mask & IN_ACCESS)        printf("IN_ACCESS ");
    if (i->mask & IN_ATTRIB)        printf("IN_ATTRIB ");
    if (i->mask & IN_CLOSE_NOWRITE) printf("IN_CLOSE_NOWRITE ");
    if (i->mask & IN_CLOSE_WRITE)   printf("IN_CLOSE_WRITE ");
    if (i->mask & IN_CREATE)        printf("IN_CREATE ");
    if (i->mask & IN_DELETE)        printf("IN_DELETE ");
    if (i->mask & IN_DELETE_SELF)   printf("IN_DELETE_SELF ");
    if (i->mask & IN_IGNORED)       printf("IN_IGNORED ");
    if (i->mask & IN_ISDIR)         printf("IN_ISDIR ");
    if (i->mask & IN_MODIFY)        printf("IN_MODIFY ");
    if (i->mask & IN_MOVE_SELF)     printf("IN_MOVE_SELF ");
    if (i->mask & IN_MOVED_FROM)    printf("IN_MOVED_FROM ");
    if (i->mask & IN_MOVED_TO)      printf("IN_MOVED_TO ");
    if (i->mask & IN_OPEN)          printf("IN_OPEN ");
    if (i->mask & IN_Q_OVERFLOW)    printf("IN_Q_OVERFLOW ");
    if (i->mask & IN_UNMOUNT)       printf("IN_UNMOUNT ");
    printf("\n");

    if (i->len > 0)
        printf("        name = %s\n", i->name);
}

#define NAME_MAX 128
#define BUF_LEN (10 * (sizeof(struct inotify_event) + NAME_MAX + 1))
int main(int argc, char *argv[])
{
    int inotifyFd, wd, j;
    char buf[BUF_LEN];
    ssize_t numRead;
    char *p;
    struct inotify_event *event;
    char files[][30] = {"../data/test.txt", "../data/"};
    int size = 2;

    inotifyFd = inotify_init();                 /* Create inotify instance */
    if (inotifyFd == -1)
        errExit("inotify_init");

    /* For each command-line argument, add a watch for all events */

    for (j = 1; j < size; j++) {
        wd = inotify_add_watch(inotifyFd, files[j], IN_ALL_EVENTS);
        if (wd == -1)
            errExit("inotify_add_watch");

        printf("Watching %s using wd %d\n", files[j], wd);
    }

    for (;;) {                                  /* Read events forever */
        numRead = read(inotifyFd, buf, BUF_LEN);
        if (numRead == 0)
            fatal("read() from inotify fd returned 0!");

        if (numRead == -1)
            errExit("read");

        printf("Read %ld bytes from inotify fd\n", (long) numRead);

        /* Process all of the events in buffer returned by read() */

        for (p = buf; p < buf + numRead; ) {
            event = (struct inotify_event *) p;
            displayInotifyEvent(event);

            p += sizeof(struct inotify_event) + event->len;
        }
    }
    return 0;
}

#!/usr/bin/python3
# -*- coding: utf-8 -*-

import pyinotify
import os

"""
note:     https://github.com/liujunsheng0/notes/blob/master/linux/Linux%20Programming%20Interface/test/part19/19.cpp
实验环境: Linux
目的:     使用inotify机制实现tail -f的功能
"""


class ProcessTransientFile(pyinotify.ProcessEvent):

    def process_IN_MODIFY(self, event):
        print(event)
        line = fd.readline()
        if line:
            print(line)

filename = '/home/ljs/test/test/2.txt'
with open(filename, 'r') as fd:
    st_results = os.stat(filename)
    st_size = st_results[6]
    fd.seek(st_size)

    wm = pyinotify.WatchManager()
    notifier = pyinotify.Notifier(wm)
    wm.watch_transient_file(filename, pyinotify.IN_MODIFY, ProcessTransientFile)
    notifier.loop()
忧桑的小兔子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LINUX文件监控——INOTIFY
fjzxwa的博客
06-06 1365
语法规则:inotifywatch [-hvzrqf] [-e <event> ] [-t <seconds> ] [-a <event> ] [-d。-a:按指定事件的事件计数升序排序输出。-t <seconds>, –timeout <seconds>:如果在设置的秒内没有发生事件,则退出。–excludei <pattern>:对指定的文件不做任何处理,POSIX扩展正则表达式,不区分大小写。–excludei <pattern>:对指定的文件不做任何处理,POSIX扩展正则表达式,不区分大小写。
Linux inotify机制 -- 监控文件系统事件
Sino_Crazy_Snail的小窝
06-23 2673
Linux inotify机制监控文件系统事件 描述信息 在Linux中,inotify API提供了一种机制监控文件系统的事件信息。Inotify可以监控文件亦或者是目录。当一个目录被监控时,inotify会返回这个目录本身所发生的事件以及目录内的文件所发生的事件信息。 常用的API: inotify_init()函数创建一个inotify的实例,返回一个被inotify实...
inotify linux文件夹监视
11-28
这是监视文件夹变化的程序,指定监视的文件夹类型
Linux inotify 文件监控
SHELLCODE_8BIT的博客
11-18 621
Linux 下的文件元信息,可以通过 stat() 读取,st_mode 字段记录了文件的类型,取值 S_IFDIR、S_IFREG 分别表示目录文件和常规文件。read 每次通过文件描述符读取的 inotify 事件队列中一个事件,事件的 mask 标记了文件发生的事件。read 每次通过文件描述符读取的 inotify 事件队列中一个事件,事件的 mask 标记了文件发生的事件。除了以上的核心过程,一个文件监控系统还需要包含:监控文件的获取、监控事件的解析和数据补充。
用什么方式可以监听到linux目录增加文件了具体怎样监听
最新发布
qq_33192454的博客
07-11 876
使用 SSH 和 inotify-tools是一种简单而有效的方法,可以快速实现对远程目录的监听。使用 Python 的 Paramiko 和 Watchdog 库提供了更多的灵活性和可扩展性,可以根据需要自定义更多的逻辑。根据具体需求选择合适的方法,确保在部署前进行充分测试。怎样监听远程linux的对应的目录下的文件是否存在,如果有想要的文件就把文件移动到当前linux的data目录中用java实现
linux-c使用inotify监控文件
赵凯月的博客
12-06 1043
监控
Linux文件监控
勤奋的小猪
08-11 755
关键词:linux, 监控 如果要让服务器保持最佳性能,你应该将 Linux 服务器的运行级别 runlevel 设置为 3 ,就是控制台模式,当你需要图形化桌面的时候使用 startx 命令来启动它。修改配置 /etc/inittab 找到 initdefault 一样,将id:5:initdefault修改为 id:3:initdefault。   系统管理需要定期检查的事项
Linux系统中的文件监控
知其可为而不为
02-28 5325
特定文件正在被那些进程操作 特定进程正在操作那些文件 实时监控特定文件一段时间 特定进程在执行过程中会操作哪些文件
Linux文件实时监控工具inotify-tools的安装和使用
时光不语的博客
11-14 3930
inotifyLinux内核2.6.13 (June 18, 2005)版本新增的一个子系统(API),它提供了一种监控文件系统(基于inode的)事件的机制,可以监控文件系统的变化如文件修改、新增、删除等,并可以将相应的事件通知给应用程序。如将其用于脚本中监控某指定目录中的文件上的修改、新建、删除、属性信息的改变,而后使用rsync命令将某事件对应的文件同步至其它主机上。超出此上限的事件将会被丢弃;此文件中的数值用于设定每个用户ID(以ID标识的用户)可以创建的inotify实例数目的上限;
Linux 目录/文件状态监控 inotify 系列函数
根尘的博客
03-20 2117
前言 inotify机制inotify的三个接口,inotify注意事项…… 一、inotify的含义 inotify是一种机制:若监视一个目录XXX,当目录XXX下的状态发生改变,比如新文件创建、文件内容修改、文件重命名等等,就触发了对应的文件事件,内核空间会将这个文件事件放入一个队列,间接通知用户空间。 何谓文件事件?简说之,就是一个结构体,里面放了几条信息,表明哪个文件触发了哪种事件。 何谓间接通知?内核空间将文件事件放入队列里就不管了,也不会通过信号或者回调函数来自动告诉用户空间:我在队
基于inotifyLinux文件实时监控程序,同时调用河马扫描来检测文件.zip
04-29
Linux系统中,inotify是内核提供的一种文件系统事件监控机制,允许应用程序监控文件系统中的各种变化,如创建、删除、修改等。基于inotify,开发者可以编写出实时监控文件或目录变化的程序,从而实现高效的数据...
linux系统监控机制分析与实现
04-15
主要分析red hat以及debian系列的linux操作系统启动过程以及进程监控实现的方法
linux内核修改,监控系统所有读写操作
10-14
Linux内核修改,通过修改linux内核可以对系统的所有读写操作进行监控,通过对这些读写操作的监控,可以获取系统中所有读写操作的详细信息。这种做法也叫做“加塞子”,通过“加塞子”可以获得系统级的权限,这样你就可以对系统进行任何你想做的事情,包括使系统崩溃,仅供参考。欢迎下载。
Linux 监控文件被什么进程修改(详解)
01-10
安装: apt-get install auditd. 1.auditd 是后台守护进程,负责监控记录 2.auditctl 配置规则的工具 3.auditsearch 搜索查看 4.aureport 根据监控记录生成报表 比如,监控 /root/.ssh/authorized_keys 文件是否被修改过: aditctl -w /root/.ssh/authorized_keys -p war -k auth_key •-w 指明要监控文件 •-p awrx 要监控的操作类型,append, write, read, execute •-k 给当前这条监控规则起个名字,方便搜索过滤 查看修
Linux inotify监听文件状态的操作方法
09-15
inotify-tools提供了一种高效、灵活的方式来监控Linux文件系统的变更。通过使用`inotifywait`和`inotifywatch`,我们可以构建自动化脚本来响应文件或目录的特定事件,从而实现更智能的系统管理和自动化流程。了解并...
Linux inotify
07-29
Linux inotify 是一种文件系统变化通知机制,允许文件或者文件夹的增删等事件即刻反映在用户空间。inotify 机制Linux 内核中的一种机制,用于通知用户空间程序文件系统的变化。 一、inotify 的主要功能: ...
Linux应用 inotify监控文件变化
cesheng3410的博客
03-12 2302
本文讲述了inotify的定义、编程步骤以及常用接口,并编写程序进行测试
如何监控Linux文件系统(inotify功能介绍)
Roland_Sun的专栏
03-25 3474
inotify机制Linux内核2.6.13以后支持的一个新的特性,功能是监视文件系统的变化。当监视到文件系统发生任何变化以后,相应的应用程序可以得到通知。inotify可以监视单个文件或甚至是某个目录的变化。 要启用inotify机制文件或目录进行监控,一般需要顺序调用以下几个API: 1)inotify_init 最开始要创建一个inotify实例,这是通过调用inotify_ini
linux文件调用监控,使用inotify监视Linux文件变化
weixin_39628384的博客
05-14 259
#include #include #include #include enum {ACTION_NULL_WD,ACTION_ADD_WD,ACTION_DEL_WD,};int main(int argc, const char **argv){int err = 0;if (!inotifytools_initialize()) {printf("inotifytools_initializ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值