inotify如何实现日志记录

inotify：让Linux文件系统自己“开口说话”的日志记录方案

在Linux世界里，想知道一个目录下发生了什么变化，难道要不停地手动去检查吗？当然不用。内核早就提供了一位“沉默的哨兵”——inotify。这套文件系统事件监控机制，能实时捕捉文件或目录的创建、删除、修改乃至移动等动作。借助它，你可以轻松构建一个自动化日志记录系统，让文件系统的所有活动都有迹可循。

下面，我们就来手把手实现一个基于Python的监控日志脚本，看看如何让inotify为你工作。

第一步：环境准备

首先，得确保你的Linux系统装备了必要的工具。通常情况下，你需要安装inotify-tools基础包，这可以通过包管理器轻松搞定：

sudo apt-get install inotify-tools

第二步：编写监控脚本

接下来，创建一个名为inotify_log_example.py的Python脚本。我们将使用inotify-simple这个Python库来简化操作，它的接口非常直观。

import os
import time
from inotify_simple import INotify, flags

# 配置参数
watch_path = '/path/to/your/directory'  # 要监控的目录路径
log_file = 'inotify_log.txt'            # 日志文件名

# 初始化 inotify
inotify = INotify()
watch_flags = flags.CREATE | flags.DELETE | flags.MODIFY | flags.MOVED_FROM | flags.MOVED_TO
wd = inotify.add_watch(watch_path, watch_flags)

try:
    with open(log_file, 'a') as log:
        while True:
            for event in inotify.read():
                event_name = {
                    flags.CREATE: 'CREATED',
                    flags.DELETE: 'DELETED',
                    flags.MODIFY: 'MODIFIED',
                    flags.MOVED_FROM: 'MOVED_FROM',
                    flags.MOVED_TO: 'MOVED_TO'
                }.get(event.mask, 'UNKNOWN')
                log_entry = f"{time.strftime('%Y-%m-%d %H:%M:%S')} - {event_name} - {event.name}\n"
                log.write(log_entry)
                log.flush()
except KeyboardInterrupt:
    inotify.rm_watch(wd)

瞧，核心逻辑就在这里。脚本会死死“盯住”你指定的目录，任何风吹草动——无论是文件诞生、消失、内容改动还是搬进搬出——都会被立刻捕捉，并附上精确的时间戳，记录到日志文件里。

第三步：配置与运行

1. 脚本里有个关键变量watch_path，你得把它换成真正想监控的那个目录路径。
2. 一切就绪后，在终端运行它即可：

python inotify_log_example.py

至此，一个简单的实时文件系统日志记录器就开始默默工作了。所有事件都会乖乖地记在inotify_log.txt文件里。

几点补充说明

这个示例只是一个起点。实际应用中，你完全可以按需扩展，比如增加更多事件类型、记录更详细的信息（例如文件大小、操作者等）。

另外，脚本中用到的inotify-simple库，如果系统里还没有，可以通过pip命令轻松安装：

pip install inotify-simple

本质上，这就是将内核提供的底层能力，通过清晰的代码封装起来，化被动检查为主动通知。对于需要审计文件操作、同步数据或构建自动化流程的场景来说，这套方法既直接又高效。