Linux inotify 文件监控

Linux 内核 2.6.13 以后,引入了 inotify 文件系统监控功能,通过 inotify 可以对敏感目录设置事件监听。这样的功能被也被包装成了一个文件监控神器 inotify-tools。

使用 inotify 进行文件监控的过程:

  1. 创建 inotify 实例,获取 inotify 事件队列文件描述符
  2. 为监控的文件逐一添加 watch,绑定 inotify 事件队列文件描述符,确定监控事件
  3. 使用 inotify 事件队列文件描述符读取产生的监控事件
  4. 完成以上操作后,关闭inotify事件队列文件描述符

除了以上的核心过程,一个文件监控系统还需要包含:监控文件的获取、监控事件的解析和数据补充。

inotify 文件事件监控核心部分所涉及的 API 如下(包含在 <sys/inotify.h> 中):

read 每次通过文件描述符读取的 inotify 事件队列中一个事件,事件的 mask 标记了文件发生的事件。inotify 事件的数据结构如下:

/* 创建 inotify 实例,获取文件描述符 fd */
int inotify_init(void);//初始化一个新的 inotify 实例,返回一个与新的 inotify 事件队列关联的文件描述符
int inotify_init1(int flags);//如果flags为0,功能与inotify_init()相同/* 添加 watch */
int inotify_add_watch(int fd, const char *pathname, uint32_t mask); //对于在pathname 中指定位置的文件,添加一个新的 watch,或者修改一个现有的 watch
int inotify_rm_watch(int fd, int wd);//从 inotify 中删除现有 watch 实例/* 读取文件事件 */
ssize_t read(int fd, void *buf, size_t count);//尝试从inotify 事件队列关联的文件描述符fd读取多达count个字节到从buf开始的缓冲区中。成功时,返回读取的字节数(零表示文件结尾),文件位置按此数字前进。/* 关闭文件描述符 */
int close(int fd);//关闭一个inotify 事件队列关联的文件描述符,使其不再引用任何文件

read 每次通过文件描述符读取的 inotify 事件队列中一个事件,事件的 mask 标记了文件发生的事件。inotify 事件的数据结构如下:

struct inotify_event {int      wd;       /* 文件的监控描述符 */uint32_t mask;     /* 文件事件的掩码 */uint32_t cookie;   /* 重命名事件相关的唯一整数。对于所有其他事件类型,cookie 设置为 0 */uint32_t len;      /* 文件名称的长度 */char     name[];   /* 被监控的文件名称 */
};

inotify 事件 mask 的宏定义:

#define IN_ACCESS         0x00000001        /* File was accessed.  */
#define IN_MODIFY         0x00000002        /* File was modified.  */
#define IN_ATTRIB         0x00000004        /* Metadata changed.  */
#define IN_CLOSE_WRITE    0x00000008        /* Writtable file was closed.  */
#define IN_CLOSE_NOWRITE  0x00000010        /* Unwrittable file closed.  */
#define IN_OPEN           0x00000020        /* File was opened.  */
#define IN_MOVED_FROM     0x00000040        /* File was moved from X.  */
#define IN_MOVED_TO       0x00000080        /* File was moved to Y.  */
#define IN_CREATE         0x00000100        /* Subfile was created.  */
#define IN_DELETE         0x00000200        /* Subfile was deleted.  */
#define IN_DELETE_SELF    0x00000400        /* Self was deleted.  */
#define IN_MOVE_SELF      0x00000800        /* Self was moved.  */

inotify 没有实现对目录的递归监控,需要自己添加这部分的功能,因此要判断文件类型,对于常规文件和目录文件分别进行处理。

Linux 下的文件元信息,可以通过 stat() 读取,st_mode 字段记录了文件的类型,取值 S_IFDIR、S_IFREG 分别表示目录文件和常规文件。

struct stat {dev_t     st_dev;         /* ID of device containing file */ino_t     st_ino;         /* Inode number */mode_t    st_mode;        /* File type and mode */nlink_t   st_nlink;       /* Number of hard links *//* 此处省略部分数据 */
};

Linux 下 使用 readdir 打开目录获取目录信息,此函数返回一个 dirent 结构体,它的 d_type 字段记录了打开目录下的子文件的类型

struct dirent {ino_t          d_ino;       /* Inode number */off_t          d_off;       /* Not an offset; see below */unsigned short d_reclen;    /* Length of this record */unsigned char  d_type;      /* Type of file; not supported by all filesystem types */char           d_name[256]; /* Null-terminated filename */
};

d_type 字段取值如下:

enum{DT_UNKNOWN = 0,
# define DT_UNKNOWN            DT_UNKNOWNDT_FIFO = 1,
# define DT_FIFO               DT_FIFODT_CHR = 2,
# define DT_CHR                DT_CHRDT_DIR = 4,
# define DT_DIR                DT_DIR //目录文件DT_BLK = 6,
# define DT_BLK                DT_BLKDT_REG = 8,
# define DT_REG                DT_REG //常规文件DT_LNK = 10,
# define DT_LNK                DT_LNKDT_SOCK = 12,
# define DT_SOCK               DT_SOCKDT_WHT = 14
# define DT_WHT                DT_WHT};

文件监控 demo:

#include <errno.h>
#include <poll.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/inotify.h>
#include <unistd.h>
#include <dirent.h>
#include <string.h>
#include <sys/stat.h>
#include<iostream>using std::string;string event_str[12] =
{    "IN_ACCESS",        //文件被访问"IN_MODIFY",        //文件修改"IN_ATTRIB",        //文件元数据修改"IN_CLOSE_WRITE","IN_CLOSE_NOWRITE","IN_OPEN","IN_MOVED_FROM",    //文件移动from"IN_MOVED_TO",      //文件移动to"IN_CREATE",        //文件创建"IN_DELETE",        //文件删除"IN_DELETE_SELF","IN_MOVE_SELF"
};class FileMonitor
{
public:void start_watch(int size, char *file_list[]);int watch_dir(const char *dir_path);FileMonitor();~FileMonitor();
private:int fd;
};FileMonitor::FileMonitor()
{fd = inotify_init1(IN_NONBLOCK);//创建inotify实例,返回与该实例相关的文件描述符 fdif (fd == -1) {std::cerr<<"Error: inotifiy initial failed !"<<std::endl;exit(EXIT_FAILURE);}
}FileMonitor::~FileMonitor()
{if (fd > 0)close(fd);
}void FileMonitor::start_watch(int size, char *file_list[])
{    struct stat file_info;int wd, file_type, event_list_len;struct inotify_event *event;char buf[8192] __attribute__ ((aligned(__alignof__(struct inotify_event))));for (int i=1; i < size; i++){stat(file_list[i], &file_info);if (file_info.st_mode & S_IFREG)//普通文件直接添加 watch{wd = inotify_add_watch(fd, file_list[i], IN_ALL_EVENTS);if (wd == -1){std::cerr<<"Error: cannot watch "<<file_list[i]<<" !"<<std::endl;exit(EXIT_FAILURE);}}if (file_info.st_mode & S_IFDIR) //目录文件需要遍历,为目录中的所有文件添加 watchwatch_dir(file_list[i]);}//std::cout<<"start listening for events"<<std::endl;int event_len = sizeof(struct inotify_event);//读取inotify事件队列中的事件while (1){if ((event_list_len = read(fd, buf, sizeof(buf))) > 0)for (char *ptr = buf; ptr < buf+event_list_len; ptr += event_len + event->len){event = (struct inotify_event *)ptr;//解析文件事件for (int i = 1; i < 12; i++){if ((event->mask >> i) & 1){std::cout<<event->name<<": "<<event_str[i-1]<<std::endl;/** event->name获取的是相对路径,获取绝对路径需要额外进行路径存储** 这里可以针对敏感文件设置告警*/}}}}
}int FileMonitor::watch_dir(const char *dir_path)
{DIR *dir;//打开的目录struct dirent *dir_container;//打开目录内容int wd, path_len, count = 0;string path = dir_path, path_str, prnt_path[1000];//当前目录、临时变量、子目录数组if ((dir = opendir(dir_path)) == NULL){std::cerr<<"Error: cannot open directory '"<<dir_path<<"' !"<<std::endl;return -1;}wd = inotify_add_watch(fd, dir_path, IN_ALL_EVENTS);//为目录添加监控if (wd == -1){std::cerr<<"Error: cannot watch '"<<dir_path<<"' !"<<std::endl;return -1;}while((dir_container = readdir(dir)) != NULL){path_len = path.length();path_str = path[path_len-1];if (path_str.compare( "/") != 0)path += "/";path_str = path + (string)dir_container->d_name;//子文件绝对路径//std::cout<<"path: "<<path_str<<std::endl;if (dir_container->d_type == DT_REG){inotify_add_watch(fd, (char *)path_str.c_str(), IN_ALL_EVENTS);//常规文件直接添加监控continue;}if (dir_container->d_type == DT_DIR&& strcmp(".", dir_container->d_name) != 0&& strcmp(dir_container->d_name,"..") != 0){//目录文件加入子目录数组,等待递归遍历prnt_path[count] = path_str;count++;}}closedir(dir);while (count > 0){count--;watch_dir(prnt_path[count].c_str());//递归遍历目录,添加监控}return 0;
}int main(int argc, char* argv[])
{if (argc < 2){std::cerr<<"Error: no watching file!"<<std::endl;exit(1);}FileMonitor monitor;monitor.start_watch(argc, argv);return 0;
}

编译执行:

c++ -o test -std=c++11 test.cpp && ./test /var/log

参考:

inotify(7) - Linux manual page

stat(2) - Linux manual page

readdir(3) - Linux manual page

dirent.h

sys_stat.h(0p) - Linux manual page

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/157758.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java中实体与Map的相互转换

一、在Java中&#xff0c;可以通过以下方法将实体类转换为Map&#xff1a; 利用Java反射机制&#xff1a; public static Map<String, Object> objectToMap(Object obj) throws IllegalAccessException {Map<String, Object> map new HashMap<>();Class&l…

【代码随想录】算法训练计划28

回溯 1、491. 递增子序列 题目&#xff1a; 给你一个整数数组 nums &#xff0c;找出并返回所有该数组中不同的递增子序列&#xff0c;递增子序列中 至少有两个元素 。你可以按 任意顺序 返回答案。 数组中可能含有重复元素&#xff0c;如出现两个整数相等&#xff0c;也可以…

@RequestBody详解:用于获取请求体中的Json格式参数

获取请求体中的Json格式参数 &#xff08;RequestBody&#xff09; 当前端将一些比较复杂的参数转换成Json字符串通过请求体传递过来给后端&#xff0c;这种时候就可以使用RequestBody注解获取请求体中的数据。 而json字符串是包含在请求体中的&#xff0c;使用请求体传参通常…

【Azure 架构师学习笔记】-Azure Storage Account(7)- 权限控制

本文属于【Azure 架构师学习笔记】系列。 本文属于【Azure Storage Account】系列。 接上文 【Azure 架构师学习笔记】-Azure Storage Account&#xff08;6&#xff09;- File Layer 前言 存储帐户作为其中一个数据终端存储&#xff0c;对安全性的要求非常高&#xff0c;不管…

40、Flink 的Apache Kafka connector(kafka source的介绍及使用示例)-1

Flink 系列文章 1、Flink 部署、概念介绍、source、transformation、sink使用示例、四大基石介绍和示例等系列综合文章链接 13、Flink 的table api与sql的基本概念、通用api介绍及入门示例 14、Flink 的table api与sql之数据类型: 内置数据类型以及它们的属性 15、Flink 的ta…

Linux常用命令——bmodinfo命令

在线Linux命令查询工具 bmodinfo 显示给定模块的详细信息 补充说明 bmodinfo命令用于显示给定模块的详细信息。 语法 bmodinfo(选项)(参数)选项 -a&#xff1a;显示模块作者&#xff1b; -d&#xff1a;显示模块的描述信息&#xff1b; -l&#xff1a;显示模块的许可信息…

Linux环境下安装部署单机RabbitMQ(离线)

摘要 本文档适用于在Linux系统下部署单体RabbitMQ&#xff0c;是在无网的情况下部署的。涉及的任何操作都是通过手动下载安装包然后上传到服务器上进行安装&#xff0c;因此也遇到一些问题&#xff0c;并在此文档中记录。 实际操作环境&#xff1a;Kylin V10&#xff0c;实际…

C#中反射的使用总结

反射是.NET中的重要机制&#xff0c;通过反射&#xff0c;可以在运行时获得程序或程序集中每一个类型&#xff08;包括类、结构、委托、接口和枚举等&#xff09;的成员和成员的信息。可以直接通过反射方式创建对象&#xff0c;即使这个对象的类型在编译时没有加载。本文主要介…

基于哈夫曼树的数据压缩算法

基于哈夫曼树的数据压缩算法是一种有效的编码方法&#xff0c;可以对待压缩文件进行压缩&#xff08;即编码&#xff09;&#xff0c;同时可以对压缩后的二进制编码文件进行解压&#xff08;即译码&#xff09;。以下是其工作原理&#xff1a; 输入一串字符串&#xff0c;根据…

MyBatis整合多数据源

基础环境 SpringBoot : 3.0.0 Java: jdk-17.0.5 Maven: 3.6.1引入相关jar <?xml version"1.0" encoding"UTF-8"?> <project xmlns"http://maven.apache.org/POM/4.0.0" xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance&…

局域网协议:VLAN技术介绍

文章目录 VLAN概述VLAN的优点VLAN的原理VLAN的配置推荐阅读 VLAN概述 VLAN&#xff08;Virtual Local Area Network虚拟局域网&#xff09;是一种在物理网络基础上划分逻辑上独立的局域网的技术。它允许将网络设备按照逻辑上的需求而非物理位置进行分组&#xff0c;提供更好的…

Python除法

1.整数除以整数 练习下面的运算&#xff1a; >>> 2/5 0 >>> 2.0/5 0.4 0.4 >>> 2/5.0 0.4 >>> 2.0/5.0 0.4 看到没有&#xff1f;麻烦出来了&#xff08;这是在python2.x中&#xff09;&#x…

硬技能之上的软技巧(一)

在硬技能的基础上&#xff0c;如何运用软技巧来提升个人能力和职业发展。 硬技能通常指的是专业技能和知识&#xff0c;这些技能是我们在职场中安身立命的基础&#xff0c;也是我们能够胜任工作的关键。 常见的硬技能包括编程、设计、市场营销等。 然而&#xff0c;仅有硬技…

西门子S7-200SMART常见通讯问题解答

1台200SMART 如何控制2台步进电机&#xff1f; S7-200SMART CPU最多可输出3路高速脉冲&#xff08;除ST20外&#xff09;&#xff0c;这意味着可同时控制最多3个步进电机&#xff0c;通过运动向导可配置相应的运动控制子程序&#xff0c;然后通过调用子程序编程可实现对步进电…

读书笔记:彼得·德鲁克《认识管理》第29章 有效决策

一、章节内容概述 决策不是一项机械性工作&#xff0c;而是一种冒险&#xff0c;也是对判断力的考验。“正确答案”不是决策的核心&#xff0c;通常情况下无论如何都无法找到正确答案。决策的核心是对问题的认可。决策也不是一项智力活动&#xff0c;而是调 动组织的想象力、精…

矩阵相乘

描述 输入N和M建立矩阵A[N][M]&#xff0c; B[M][N] 矩阵C A * B 输出矩阵C 例如: 输入&#xff1a; 2 3 1 2 3 4 5 6 100 10 100 1 1000 -1 -1 输出: 123 3210 456 6540 输入 输入N和M&#xff0c;建立矩阵A[N][M]&#xff0c; B[M][N]&#xff0c;以-1&#xff0c;-1结尾 输入…

【算法-字符串1】反转字符串 + 反转字符串2

今天&#xff0c;带来字符串相关算法的讲解。文中不足错漏之处望请斧正&#xff01; 理论基础点这里 1. 反转字符串 题意简化 题意已经很简洁。 题意转化 将字符串的顺序倒转。 解决思路(抽象) 这道题的反转可以直接调用一个库函数&#xff0c;但是这样做意义不大。 能…

单链表OJ--8.相交链表

8.相交链表 160. 相交链表 - 力扣&#xff08;LeetCode&#xff09; /* 解题思路&#xff1a; 此题可以先计算出两个链表的长度&#xff0c;让长的链表先走相差的长度&#xff0c;然后两个链表同时走&#xff0c;直到遇到相同的节点&#xff0c;即为第一个公共节点 */struct Li…

前端学习--React(1)

一、React简介 React由Meta公司研发&#xff0c;是一个用于 构建Web和原生交互界面的库 优势&#xff1a;组件化开发、不错的性能、丰富生态&#xff08;所有框架中最好&#xff09;、跨平台&#xff08;web、ios、安卓&#xff09; 开发环境搭建 打开相应文件夹 新建终端并…

QT修改windowTitle的名字以及图片

1.修改名字:点击ui的QMainWindow,然后找到windowTitle的选项修改即可 2.修改windowTitle的图片,依旧是找到windowIcon,选择资源,这个资源可以是你放到qrc里面的图片也可以是外置的图片 3.然后运行就可以看到效果了