inotifywait監控目錄/檔案變化

語言: CN / TW / HK

  • 1.背景:由於web攻擊比較頻繁,雖然有waf,還是不太放心。故用inotifywait監控web目錄,配合日誌告警,滿足條件就發告警通知。希望可以滿足webshell告警和web防篡改的需求。
  • 2.主指令碼參考:
#!/bin/sh
#usage示例nohup sh sample.sh >> /tmp/sample.log &
dir=/yourpath //絕對路徑
/usr/bin/inotifywait ${dir} -mqr --timefmt '%d/%m/%y-%H:%M:%S' --format "%T %w %f %e" -e modify,delete,create,attrib

-mqr 遞迴持續監聽,減少冗餘日誌
-e modify,delete,create,attrib 只監聽這四種event

  • 3.異常
    1.如果發現inotifywait有重複記錄,可能是多次執行未及時刪除之前的inotifywait程序
    2.慎用nohup,可能導致迴圈執行,撐爆負載。建議先在本地測試。