Ubuntu inotify如何记录日志

在Ubuntu系统中，inotify是一个用于监控文件系统事件的Linux内核子系统。要记录inotify日志，您可以使用auditd服务或者inotifywait工具。

方法1：使用auditd服务

1. 安装auditd：

sudo apt-get update
sudo apt-get install auditd audispd-plugins

1. 编辑/etc/audit/auditd.conf文件，找到以下行并进行修改：

log_format = RAW

将其更改为：

log_format = JSON

这将使日志以JSON格式记录，便于解析。

1. 重启auditd服务：

sudo systemctl restart auditd

1. 添加一个规则以监控特定目录。创建一个新文件/etc/audit/rules.d/inotify.rules，并添加以下内容（将/path/to/your/directory替换为您要监控的目录）：

-a exit,always -F arch=b64 -S inotify_add_watch -S inotify_del_watch -k inotify
-a exit,always -F arch=b32 -S inotify_add_watch -S inotify_del_watch -k inotify

1. 重新加载auditd规则：

sudo augenrules --load

1. 查看inotify日志：

sudo ausearch -k inotify

方法2：使用inotifywait工具

1. 安装inotify-tools：

sudo apt-get update
sudo apt-get install inotify-tools

1. 使用inotifywait监控目录并记录日志。运行以下命令（将/path/to/your/directory替换为您要监控的目录，将/path/to/logfile.log替换为您要保存日志的文件）：

inotifywait -m -r -e create,delete,modify --format '%w%f %e %T' /path/to/your/directory >
    >
     /path/to/logfile.log 2>
    &
    1

这将实时监控指定目录，并将事件记录到指定的日志文件中。

注意：inotifywait方法可能不如auditd方法稳定，特别是在高负载情况下。因此，建议使用auditd方法进行日志记录。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！