正如标题所示,是否有一种方法可以使用 inotify/inotify-tools 来通知最近打开的套接字?据我所知,inotify 仅适用于 inode,而具体测试这些 inode 是否是套接字并不是 inotify 实际上能够做到的事情。此外,我似乎找不到套接字 FD 的存储位置。我只能看到它们的文件描述符,它们是符号链接:
# ls -l /proc/29711/fd/10
lrwx------ 1 root root 64 Mar 6 17:04 /proc/29711/fd/10 -> socket:[750728]
# stat /proc/29711/fd/10
File: `/proc/29711/fd/10' -> `socket:[750728]'
Size: 64 Blocks: 0 IO Block: 1024 symbolic link
Device: 3h/3d Inode: 759700 Links: 1
Access: (0700/lrwx------) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2013-03-06 17:05:22.690411801 +1100
Modify: 2013-03-06 17:04:14.062414880 +1100
Change: 2013-03-06 17:04:14.062414880 +1100
Birth: -
答案1
答案2
更新:您可以使用以下方式跟踪这些事件conntrack 工具。