本文约3000字,今天之前的一款产品突然出现内核检测到目录文件频繁创建和删除,确认问题反馈给agent开发人员后,顺便整理下这套内核检测目录文件变更通知的机制。
关注公众号, 即可获得与Linux相关的电子书籍(含《操作系统教程(Linux 版)》)以及常用开发工具,文末有文档清单。

业务开发中常需要实时感知目录内文件新增、删除、修改、移动等行为,例如你提供的agent目录巡检程序,基于Linux inotify 捕获agent目录下文件删除事件并打印被删除文件名。
Linux 内核统一底层fsnotify通知框架,上层主流标准接口为 inotify(dnotify 老旧废弃,本文不再赘述;fanotify 为安全增强方案,仅root可用)。
本文包含:内核底层架构、内核编译配置开关、inotify API完整流程、应用层可运行代码、事件流转、踩坑优化、选型对比。
所有文件变更通知能力均基于内核fsnotify子系统,挂载在VFS虚拟文件系统操作埋点。
unlink/rmdir 等系统调用,进入VFS层;fsnotify埋点函数;fsnotify_mark监控标记,匹配注册的事件掩码;read()阻塞读取事件,解析得到文件名称、事件类型;struct inode:每个文件/目录独有,挂载i_fsnotify_marks标记链表;struct fsnotify_mark:监控标记,绑定inode、事件掩码、归属监控组;struct fsnotify_group:inotify/fanotify实例,维护事件缓冲、资源限制。/proc/sys/fs/inotify/max_user_watches # 单进程最大监控目录数量/proc/sys/fs/inotify/max_queued_events # 单实例内核最大缓冲事件数/proc/sys/fs/inotify/max_user_instances # 单个用户最大inotify实例数量所有通知机制依赖底层fsnotify框架,必须开启:
CONFIG_FSNOTIFY=y/my:编译进内核;m:编译为内核模块;嵌入式推荐y。CONFIG_INOTIFY_USER=y/m作用:导出用户态可用的 inotify_init/inotify_add_watch/inotify_rm_watch 系统调用,关闭后用户程序无法使用inotify接口。
如需使用fanotify全局监控、文件操作拦截,额外开启:
CONFIG_FANOTIFY=y/mCONFIG_FANOTIFY_ACCESS_PERMISSIONS=y # 支持拦截open/read/write操作CONFIG_VFS=y # 虚拟文件系统基础,必选CONFIG_SIGNALS=y # 异步唤醒read阻塞执行命令验证:
# 查看内核配置是否开启INOTIFY_USERzcat /proc/config.gz | grep -E "CONFIG_FSNOTIFY|CONFIG_INOTIFY_USER"# 直接测试API是否可用gcc -o test_inotify test_inotify.c && ./test_inotify若inotify_init()返回-1、errno=ENOSYS,代表内核未开启CONFIG_INOTIFY_USER。
轻量级、普通用户即可使用,支持文件/目录监控,监控目录时可直接获取子文件/目录名称;适合配置热加载、目录巡检、文件同步场景,你现有agent程序采用该方案。
int inotify_init():创建inotify实例,返回全局fd;int inotify_add_watch(fd, path, mask):添加监控目录/文件,注册监听事件掩码;read(inotify_fd, buf, len):阻塞读取内核事件缓冲区,批量解析struct inotify_event;mask区分创建/删除/修改,event->name获取变更文件名;inotify_rm_watch(fd, wd) / close(fd):移除监控、释放资源。structinotify_event {int wd; // watch描述符,对应监控目录uint32_t mask; // 事件类型掩码(IN_DELETE/IN_CREATE等)uint32_t cookie; // 重命名事件关联标记uint32_t len; // name字段有效字节长度char name[]; // 相对路径文件名,len>0时存在};关键点:监控目录发生子文件删除时,
event->len > 0,event->name存储被删除文件/目录名,可直接打印。
✅ 优势
❌ 局限
#include<stdio.h>#include<stdlib.h>#include<string.h>#include<unistd.h>#include<sys/inotify.h>#include<errno.h>#define EVENT_SIZE (sizeof(struct inotify_event))#define BUF_LEN (1024 * (EVENT_SIZE + 16))// 解析并打印事件,输出删除的文件/目录名staticvoidhandle_event(struct inotify_event *ev){// 打印变更文件名if (ev->len > 0) {printf("变更对象名称: %s\n", ev->name); }// 判断事件类型if (ev->mask & IN_CREATE) {printf("事件:新建文件/目录\n"); }if (ev->mask & IN_DELETE) {printf("事件:删除文件/目录\n"); }if (ev->mask & IN_MODIFY) {printf("事件:文件内容修改\n"); }if (ev->mask & IN_ISDIR) {printf("对象类型:目录\n"); } else {printf("对象类型:普通文件\n"); }printf("------------------------\n");}intmain(int argc, char *argv[]){if (argc != 2) {printf("用法: %s 待监控目录\n", argv[0]);return-1; }constchar *watch_path = argv[1];// 1. 创建inotify实例int fd = inotify_init();if (fd < 0) { perror("inotify_init failed,请检查内核是否开启CONFIG_INOTIFY_USER");return-1; }// 2. 添加监控:监听创建、删除、修改、写完关闭uint32_t mask = IN_CREATE | IN_DELETE | IN_MODIFY | IN_CLOSE_WRITE;int wd = inotify_add_watch(fd, watch_path, mask);if (wd < 0) { perror("inotify_add_watch"); close(fd);return-1; }printf("开始监控目录: %s\n", watch_path);char buf[BUF_LEN];while (1) {// 3. 阻塞读取内核事件int len = read(fd, buf, BUF_LEN);if (len <= 0) { perror("read inotify");break; }// 循环解析所有事件int i = 0;while (i < len) {structinotify_event *ev = (structinotify_event *)&buf[i]; handle_event(ev); i += EVENT_SIZE + ev->len; } } close(fd);return0;}编译运行:
gcc inotify_demo.c -o inotify_demo./inotify_demo /opt/agent删除文件/opt/agent/test.cfg输出示例:
开始监控目录: /opt/agent变更对象名称: test.cfg事件:删除文件/目录对象类型:普通文件------------------------原因:内核未开启CONFIG_INOTIFY_USER;解决:重新编译内核,开启CONFIG_FSNOTIFY=y、CONFIG_INOTIFY_USER=y。
原因:事件产生速度超过用户读取速度,内核缓冲区打满;优化:调大max_queued_events,事件回调减少耗时操作,异步处理业务逻辑。
inotify不支持递归,捕获IN_CREATE | IN_ISDIR时主动调用inotify_add_watch新增子目录监控。
捕获IN_DELETE_SELF事件,定时检测目录存在性,重建watch。
临时调优:
echo 1048576 > /proc/sys/fs/inotify/max_user_watches永久生效修改/etc/sysctl.conf。
普通业务目录监控、配置热更新、文件同步(如agent巡检程序)选用inotify,内核仅需开启CONFIG_FSNOTIFY + CONFIG_INOTIFY_USER,普通用户即可运行,原生支持打印删除文件名称;
系统安全审计、全局磁盘监控、需要拦截文件操作选用fanotify,额外开启CONFIG_FANOTIFY,必须root权限;
禁止使用轮询stat遍历目录对比变更,CPU开销远高于内核通知机制。

这里是女程序员的笔记本
15年+嵌入式软件工程师兼二胎宝妈
分享读书心得、工作经验,自我成长和生活方式。
希望我的文字能对你有所帮助