如何监控Linux文件系统事件：inotify使用指南

§·inotify初识

Inotify 是一个 Linux特性，它监控文件系统操作，比如读取、写入和创建。Inotify 反应灵敏，用法非常简单，并且比 cron 任务的繁忙轮询高效得多。学习如何将 inotify 集成到您的应用程序中，并发现一组可用来进一步自动化系统治理的命令行工具。

§·inotify产生背景

系统治理就像日常生活一样。就像刷牙和吃蔬菜一样，日常的维护能保持机器的良好状态。您必须定期清空废物，比如临时文件或无用的日志文件，以及花时间填写表单、回复电话、更新和监控进程等。幸好自动化 shell 脚本、使用 Nagios 等工具进行监控、通过常见的 cron 进行任务调度可以减轻这个负担。

但稀奇的是，这些工具没有一个具有响应性。当然，您可以安排一个频繁运行的 cron 任务来监控条件，但这样繁忙的轮询 — 消耗大量资源并且具有不确定性 — 并不是很理想。

例如，假如您必须监控输入数据的几个 Transfer Protocol（FTP）收存箱，您可能要通过 find 命令扫描每个目标目录，列举新的内容。然而，尽管这个操作看起来并没有什么害处，但每个调用都产生一个新的 shell 和 find 命令，这需要许多系统调用来打开目录，然后扫描目录，等等。这会造成过于频繁的或大量的轮询任务（更糟糕的是，繁忙的轮询并不总是很好。想象一下一个文件系统浏览器，比如 Mac OS X 的 Finder，轮询更新时需要的大量资源及其复杂性）。那么，管理员应该怎么办呢？令人兴奋的是，您可以再次求助于可以信赖的计算机。

§·inotify详细介绍

Inotify 是一个 Linux 内核特性，它监控文件系统，并且及时向专门的应用程序发出相关的事件警告，比如删除、读、写和卸载操作等。您还可以跟踪活动的源头和目标等细节。

使用 inotify 很简单：创建一个文件描述符，附加一个或多个监视器（一个监视器 是一个路径和一组事件），然后使用 read 方法从描述符获取事件。read 并不会用光整个周期，它在事件发生之前是被阻塞的。

更好的是，因为 inotify 通过传统的文件描述符工作，您可以利用传统的 select 系统调用来被动地监控监视器和许多其他输入源。

两种方法 — 阻塞文件描述符和使用 select— 都避免了繁忙轮询。现在，深入了解 inotify，写一些 C 代码，然后看看一组命令行工具，可以构建并使用它们将命令和脚本附加到文件系统事件。Inotify 不会在中途失去控制，但它可以运行 cat 和 wget，并且在必要时严格执行。

要使用 inotify，必须具备一台带有 2.6.13 或更新内核的 Linux 机器（以前的 Linux 内核版本使用更低级的文件监控器 dnotify）。如果不知道内核的版本，请转到 shell，输入 uname -a：

% uname -a

Linux ubuntu-desktop 2.6.24-19-generic #1 SMP … i686 GNU/Linux

如果列出的内核版本不低于 2.6.13，系统就支持 inotify。还可以检查机器的 /usr/include/sys/inotify.h 文件。

如果它存在，表明内核支持 inotify。

注意：FreeBSD 和 Mac OS X 提供一个类似于 inotify 的 kqueue。在 FreeBSD 机器上输入 man 2 kqueue 获取更多信息。

本文基于 Ubuntu Desktop version 8.04.1（即 Hardy），它运行在 Mac OS X version 10.5 Leopard 的 Parallels Desktop version 3.0。

§·inotify其它介绍

当需要对Linux文件系统进行高效率、细粒度、异步地监控时，可以采用 inotify。

可利用它对用户空间进行安全、性能、以及其他方面的监控。

inotify允许监控程序打开一个独立文件描述符，并针对事件集监控一个或者多个文件，例如打开、关闭、移动/重命名、删除、创建或者改变属性。

从文件管理器到安全工具，文件系统监控对于的许多程序来说都是必不可少的。从 Linux 2.6.13 内核开始，Linux 就推出了 inotify，允许监控程序打开一个独立文件描述符，并针对事件集监控一个或者多个文件，例如打开、关闭、移动/重命名、删除、创建或者改变属性。在后期的内核中有了很多增强，因此在依赖这些特性之前，请先检查您的内核版本。

§·inotify功能简单介绍

在本文中，您将会学习如何在简单的监控应用程序中使用 inotify 功能。下载样例代码，在您的系统上编译，进一步探索。

※·dnotify 与 inotify 对比

在 inotify 之前有 dnotify。不幸的是，dnotify 有局限性，用户需要更好的产品。和 dnotify 相比 inotify 的优势如下：

1  .  Inotify 使用一个独立的文件描述符，而 dnotify 需要为每个受监控的目录打开一个文件描述符。当您同时监控多个目录时成本会非常高，而且还会遇到每进程文件描述符限制。

2  .  Inotify 所使用的文件描述符可以通过系统调用获得，并且没有相关设备或者文件。而使用 dnotify，文件描述符就固定了目录，妨碍备用设备卸载，这是可移动媒体的一个典型问题。对于 inotify，卸载的文件系统上的监视文件或目录会产生一个事件，而且监视也会自动移除。

3  .  Inotify 能够监视文件或者目录。Dnotify 则只监视目录，因此程序员还必须保持 stat 结构或者一个等效的数据结构，来反映该被监视目录中的文件，然后在一个事件发生时，将其与当前状态进行对比，以此了解当前目录中的条目发生了什么情况。

小结：如上所述，inotify 使用文件描述符，允许程序员使用标准 select 或者 poll 函数来监视事件。这允许高效的多路复用 I/O 或者与 Glib 的 mainloop 的集成。相比之下，dnotify 使用信号，这使得程序员觉得比较困难或者不够流畅。在 2.6.25 内核中 inotify 还添加了 Signal-drive I.O 通知功能。

※·用于 inotify 的 API

Inotify 提供一个简单的 API，使用最小的文件描述符，并且允许细粒度监控。与 inotify 的通信是通过系统调用实现。可用的函数如下所示：

◎·inotify_init

是用于创建一个 inotify 实例的系统调用，并返回一个指向该实例的文件描述符。

◎·inotify_init1

与 inotify_init 相似，并带有附加标志。如果这些附加标志没有指定，将采用与 inotify_init 相同的值。

◎·inotify_add_watch

增加对文件或者目录的监控，并指定需要监控哪些事件。标志用于控制是否将事件添加到已有的监控中，是否只有路径代表一个目录才进行监控，是否要追踪符号链接，是否进行一次性监控，当首次事件出现后就停止监控。

◎·inotify_rm_watch

从监控列表中移出监控项目。

◎·read

读取包含一个或者多个事件信息的缓存。

◎·close

关闭文件描述符，并且移除所有在该描述符上的所有监控。当关于某实例的所有文件描述符都关闭时，资源和下层对象都将释放，以供内核再次使用。

※·用于 inotify 监控程序

因此，典型的监控程序需要进行如下操作：

使用 inotify_init 打开一个文件描述符

添加一个或者多个监控

等待事件

处理事件，然后返回并等待更多事件

当监控不再活动时，或者接到某个信号之后，关闭文件描述符，清空，然后退出。

在下一部分中，您将看到可以监控的事件，它们如何在简单的程序中运行。最后，您将看到事件监控如何进行。

◎·通告

当您的应用程序读取到一个通告时，事件的顺序也被读取到您提供的缓存中。事件在一个变长结构中被返回，如清单 1 所示。如果数据占满了您的缓存，您可能需要对最后一个条目进行局部事件信息或者局部名处理。

清单 1. 用于 inotify 的事件结构体

struct inotify_event

{

  int wd;               /* Watch descriptor.  */

  uint32_t mask;        /* Watch mask.  */

  uint32_t cookie;      /* Cookie to synchronize two events.  */

  uint32_t len;         /* Length (including NULs) of name.  */

  char name __flexarr;  /* Name.  */

  };

请注意，只有当监控对象是一个目录并且事件与目录内部相关项目有关，而与目录本身无关时，才提供 name 字段。如果 IN_MOVED_FROM 事件与相应的 IN_MOVED_TO 事件都与被监控的项目有关，cookie 就可用于将两者关联起来。事件类型在掩码字段中返回，并伴随着能够被内核设置的标志。例如，如果事件与目录有关，则标志 IN_ISDIR 将由内核设置。

◎·可监控的事件

有几种事件能够被监控。一些事件，比如 IN_DELETE_SELF 只适用于正在被监控的项目，而另一些，比如 IN_ATTRIB 或者 IN_OPEN 则只适用于监控过的项目，或者如果该项目是目录，则可以应用到其所包含的目录或文件。

IN_ACCESS

被监控项目或者被监控目录中的条目被访问过。例如，一个打开的文件被读取。

IN_MODIFY

被监控项目或者被监控目录中的条目被修改过。例如，一个打开的文件被修改。

IN_ATTRIB

被监控项目或者被监控目录中条目的元数据被修改过。例如，时间戳或者许可被修改。

IN_CLOSE_WRITE

一个打开的，等待写入的文件或目录被关闭。

IN_CLOSE_NOWRITE

一个以只读方式打开的文件或目录被关闭。

IN_CLOSE

一个掩码，可以很便捷地对前面提到的两个关闭事件（IN_CLOSE_WRITE | IN_CLOSE_NOWRITE）进行逻辑操作。

IN_OPEN

文件或目录被打开。

IN_MOVED_FROM

被监控项目或者被监控目录中的条目被移出监控区域。该事件还包含一个 cookie 来实现 IN_MOVED_FROM 与 IN_MOVED_TO 的关联。

IN_MOVED_TO

文件或目录被移入监控区域。该事件包含一个针对 IN_MOVED_FROM 的 cookie。如果文件或目录只是被重命名，将能看到这两个事件，如果它只是被移入或移出非监控区域，将只能看到一个事件。如果移动或重命名一个被监控项目，监控将继续进行。参见下面的 IN_MOVE-SELF。

IN_MOVE

可以很便捷地对前面提到的两个移动事件（IN_MOVED_FROM | IN_MOVED_TO）进行逻辑操作的掩码。

IN_CREATE

在被监控目录中创建了子目录或文件。

IN_DELETE

被监控目录中有子目录或文件被删除。

IN_DELETE_SELF

被监控项目本身被删除。监控终止，并且将收到一个 IN_IGNORED 事件。

IN_MOVE_SELF

监控项目本身被移动。

除了事件标志以外，还可以在 inotify 头文件（/usr/include/sys/inotify.h）中找到其他几个标志。例如，如果只想监控第一个事件，可以在增加监控时设置 IN_ONESHOT 标志。

inotify 的可能使用

您可以将 inotify 用于多种目标。下面列举一些可能的情况：

◎·性能监控

您可能想确定应用程序打开最频繁的文件是哪个。如果发现一个小文件被频繁打开与关闭，您可能会考虑采用内存版，或者改变应用程序来采取其他方式共享该数据。

元信息

您可能想记录文件的附加信息，例如起始创建时间或者最后改变该文件的用户 id。

安全

您可能会因为安全原因，需要对特定文件或目录的所有访问进行监控。

我们的示例代码监控所有事件并进行报告。实际上，您可能想依据您的需要，来查看这些事件的特定子集。您可能想监控不同被监控项目的不同事件。例如，您可能想监控文件的打开与关闭事件，但对于目录只想监控创建与删除事件。在任何可能的时候，您可以监控您所感兴趣的最小事件集。

结束语

应用到性能监控、程序调试、以及自动化等领域时，inotify 是监控 Linux 文件系统的功能强大的、高粒度的机制。利用本文提供的样例代码，您可以开始编写用来实时记录文件系统事件并最小化性能开销的应用程序。