| 行为 | 含义 | 掩码 | 对应 |
|---|---|---|---|
| IN_ACCESS | 访问 | 0x00000001 | fgets(buffer, sizeof(buffer), fp) |
| IN_OPEN | 文件被打开 | 0x00000020 | fopen(filename, "r") |
| IN_ATTRIB | 数据变化 | 0x00000004 | |
| IN_CLOSE | 文件关闭 | IN_CLOSE_WRITE | IN_CLOSE_NOWRITE | close(fd) 未监控到? |
| 调用层 | 读取层 | 结果 |
|---|---|---|
| root | root | 可检测 |
| 用户 | root | 可检测 |
ps top pidof 都会触发 IN_OPEN | IN_ACCESS
| 监控位置 | 系统行为是否触发 | ls /proc是否触发 |
|---|---|---|
| /proc | 是 | 是 |
| /proc/pid | 是 | 否 |
| /proc/other process | inotify_add_watch err. | null |
系统行为指, 软件前后台切换等
修改/proc/sys/fs/inotify/max_user_watches为0
| 修改时间 | 结果 |
|---|---|
| 启动应用前 | inotify_add_watch err |
| 启动应用后 | IN_OPEN | IN_ACCESS |
| 获取文件句柄后 | IN_ACCESS |