inotifywait 是一個可以實時監控文件變動的工具,它利用linux內核中的inotify機制實現監控功能。
- 查看內核版本
- [root@Oracle ~]# uname -r
- 2.6.32-220.el6.i686
- 安裝inotify-tools
- yum install -y inotify-tools
測試監控/etc,inotifywait -m /etc
用putty連接服務器,開啟另一個終端,用vim編輯/etc/passwd時,另一個終端顯示對應的監控信息
inotifywait 命令參數說明:
-m 選項表示 monitor ,即開啟監視
-r 選項表示遞歸監視,但是會比較慢一些,若監視/etc 目錄,其中的子目錄下修改文件也是能被監控到。
-e 選項指定要監控的“事件”(events)包括了:access、modify、 attrib、 close_write、 close_nowrite、close、open、 moved_to、 moved_from、move、 move_self、 create、delete、delete_self、unmount。
- 如果修改了/etc/passwd文件,則把這個事件記錄在文件/root/modify_passwd.txt里
- inotifywait -m /etc/passwd -e modify > /root/modify_passwd.txt
如果不加參數-e的話,默認就是監控所有的事件,在日常運維時,這個工具可以幫助你監控服務器上重要文件和重要目錄的變化情況。