在 CentOS 系统中,inotify 是一个 Linux 内核子系统,用于监控文件系统事件。要查看 inotify 监控日志,您需要使用 auditd 服务。以下是如何配置和查看 inotify 监控日志的步骤:
sudo yum install audit
sudo systemctl start auditd
sudo systemctl enable auditd
/etc/audit/audit.rules 文件,添加以下内容(用您想要监控的目录或文件路径替换 /path/to/your/directory_or_file):-w /path/to/your/directory_or_file -p wa -k inotify_monitoring
这里,-w 参数表示要监控的目录或文件,-p 参数表示要监控的权限(w 表示写入,a 表示追加),-k 参数表示一个自定义的关键字,用于过滤日志。
sudo systemctl restart auditd
ausearch 和 aureport 命令来查询和生成报告。例如,要查看与 inotify_monitoring 关键字相关的所有事件,请运行:sudo ausearch -k inotify_monitoring
要生成关于写入事件的报告,请运行:
sudo aureport -k inotify_monitoring --summary -i
这些命令将显示与 inotify 监控相关的事件。您可以根据需要调整关键字和其他选项。
