在linux 应用层，有没有能实时监控系统中文件变化的方法（或软件） ？

benniey

问题同上！
    我接触linux的时间不长，  这几天在查一些关于在linux上的实时监控方面的资料， 看到一些实时监控文件变化的例子都是在内核中覆盖系统调用表中的sys_read,sys_open,sys_write， 从而对API进行hook。这样在每次有程序进行访问文件调用read, open, write时就可以实时的监控到，例如sebek就是这样来实现对文件的实时监控。
我现在的问题是， 如果要实现对系统中文件的实时监控，能不能不去hook API，进入内核？ 直接是在应用层来实现对文件的实时监控？   比如对某一个目录来进行轮询（效率很差，而且还达不到实时的效果），或者是调用相应已经原有的API来获得文件变化的事件， 如果文件有变化则执行操作， 没有变化则进行阻塞。  


希望各位DX 能帮帮CN，  呵呵

Moerae

主流的linux内核提供了两个接口： Dnotify 和 Inotify
Dnotify 比较老，我只知道kernel space NFS server使用他，不知道有什么用户空间的应用

印象里linux从2.6.13开始支持 Inotify，  inotify-tools 是一个用户空间的工具，他提供了两个命令： inotifywatch 和inotifywait ，用来捕获文件系统事件

benniey

回复 2# Moerae

Inotify  也看到过， 貌似在solaris 上没有这个东西···  /汗
主要是在 AIX ，跟solaris上做这个实时监控， 在solaris哪怕是通过服务来实现监控文件都行。  目前还真的是没找到这方面的资料····

CUDev

inotify
可以使用libinotifytools这个库来编写程序，主要是inotify不能递归的检测，libinotifytools封装了一下，支持递归检测。

snail_314

KProbe

flw

man 7 inotify

benniey

inotify  这个前几天看到了，在linux下还是比较好用， Solaris 跟AIX 上有类似的API和功能吗？