一、简介

Watchdog是一款用于监控文件系统事件的Python库，对不同平台的事件进行了封装。
Watchdog优先使用底层原生API，其次再通过轮询磁盘实现监控，目前支持以下操作系统

Windows：ReadDirectoryChangesW
Linux 2.6+：inotify
Mac OS X：kqueue 或 FSEvents
BSD Unix variants：kqueue

仅支持Python 3.5+

二、安装WatchDog

pip install watchdog

三、初试

import time
from watchdog.observers import Observer
from watchdog.events import FileSystemEventHandler
class MyHandler(FileSystemEventHandler):
    def on_any_event(self, event):
        print(event.event_type, event.src_path)
event_handler = MyHandler()
observer = Observer()
observer.schedule(event_handler, path='.', recursive=False)
observer.start()
try:
    while True:
        time.sleep(0.1)
except KeyboardInterrupt:
    observer.stop()
observer.join()

效果：

created .\a.txt
modified .\a.txt~
modified .\a.txt
moved .\a.txt
deleted .\b.txt

退出：Ctrl + C

四、重定向到日志中

输出重定向到logging日志中

import sys
import time
import logging
from watchdog.observers import Observer
from watchdog.events import LoggingEventHandler
logging.basicConfig(level=logging.INFO,
                    format='%(asctime)s - %(message)s',
                    datefmt='%Y-%m-%d %H:%M:%S')
path = sys.argv[1] if len(sys.argv) > 1 else r'D:\监控文件夹'
event_handler = LoggingEventHandler()
observer = Observer()
observer.schedule(event_handler, path, recursive=True)
observer.start()
try:
    while True:
        time.sleep(0.1)
finally:
    observer.stop()
    observer.join()

五、Handler类型

类型	功能
FileSystemEventHandler	文件
PatternMatchingEventHandle	模式匹配文件
RegexMatchingEventHandler	正则匹配文件
LoggingEventHandler	记录日志

六、WatchDog相关介绍

1、Observer

可以通过以下命令导入

from watchdog.observers import Observer

这个模块的作用主要是当作启动和关闭监控程序的，给予文件夹路径后，Observer会监控文件夹的变化并且反馈变化。

2、events

可以通过以下命令导入

from watchdog.events import *

这是watchdog的动作模块，具体作用是根据Observer模块反馈的事件分配不一样的操作动作方法，然后程序再继承这个方法开始执行所需的代码。有的萌新会问，为什么Observer反馈了事件还需要events去接收处理，还得再去继承events多麻烦。具体为啥我也不知道，只是官方把Observer事件反馈的结果传给events，events进行分配的。觉得麻烦的大哥可以自己写模块接受Observer结果并处理，萌新的我选择直接继承官方events实列，反正效果差不多。

七、自定义操作动作

from watchdog.observers import Observer
from watchdog.events import *
a = r"D:\监控文件夹"
class MyHandler(FileSystemEventHandler):
    def on_modified(self, event):
        print("文件被修改了 %s " % event.src_path)
    def on_created(self, event):
        print("文件被创建了 %s" % event.src_path)
if __name__ == "__main__":
    path = a
    event_handler = MyHandler()
    observer = Observer()
    observer.schedule(event_handler, path, recursive=True)
    observer.start()
    try:
        while True:
            time.sleep(1)
    except KeyboardInterrupt:
        observer.stop()
    observer.join()

在监控目录下进行新建文件夹和删除文件夹操作结果：

有没有仔细看我对events模块导入的是所有的类？实际上使用的主要是：

FileSystemEventHandler这个类

点开events模块：

类有很多个，简单用不到其他类的可以只导入这一个就行了，这个类官方是咋写的呢？看下图：

你会发现除了 dispatch 下面有内容，这个类的其他方法都是空的
这里dispatch决定了接收到Observer动作后转发给哪个方法操作，而on_any_event 呢会首先被dispatch调用，之后才会分配给其他的方法。这里的所有方法都是空的，目的就是让我们自行继承这个类然后执行我们自己的代码。由于已经把动作分配好了，比如我新建文件夹，只会调用create，或者移动文件夹只会调用move，所以根据相关动作继承该方法后在方法里面写需要执行的代码即可实现监控和监控操作。

八、课程设计相关

前几天网络安全课程设计，有个选题就是关于文件监控相关的，在这里我把我的课程设计报告贴出来

1、课程设计目的

本课程设计要求学生在已有理论学习的基础上，全面梳理所学的计算机网络、网络安全、程序设计等相关知识，进一步深入理解网络安全的内容；了解常见的网络安全工具、资源和相关技术，掌握网络安全应用系统分析、设计、实现和测试的方法。

2、系统需求分析

（1）提高安全性。随着计算机技术的发展和计算机的广泛应用，对计算机的安全的要求也越来越高。一个主要的问题是保证磁盘中的数据的安全，并能实时地发现其中的异常运行状况，从而及时地进行系统的改进和维护，这需要实时的监控计算机在进行文件操作的时候产生的各种信息和数据。文件系统的监控是保护磁盘数据安全的一种强大的方式，通过在文件系统之上增加一层文件监控系统，为系统安全提供了日志信息以供分析，有着重要的理论和实践意义.
（2）记录行为轨迹。记录机器使用者的文件操作，分析使用者的行为轨迹和逻辑。
（3）行为分析。当需要对一个恶意程序进行代码分析时，可以尝试在沙箱运行恶意代码，从捕捉到恶意代码运行时的文件操作来逆向推出恶意代码的逻辑，以制作出补丁反制。
（4）快速响应。服务器的后台程序通常在机器没有问题的情况下，需要长期运行（比如说数个月，甚至是数年）。但是，程序的配置文件有时候是需要定期作调整。为了不影响程序对外服务（不重启），动态加载配置文件是一种非常常见的需求。通过监控某个文件的创建、删除和修改等事件，可以很方便做出对应的动作（比如说reload）。

3、代码

Github地址：https://github.com/w01ke/File-monitoring

import sys
import time
from watchdog.observers import Observer
from watchdog.events import *
import openpyxl
import os
class MyHandler(FileSystemEventHandler):
    def __init__(self):
        self.time = 1
        self.file = 2
        self.action = 3
        self.rows = 2
        self.num = 0; 
    def on_modified(self, event):
        action_time = time.strftime("%Y-%m-%d %H:%M:%S", time.localtime())
        action = "修改"
        modified_log = action_time + ' ' + action + event.src_path
        print(modified_log)
        ws.cell(row=self.rows, column=1).value = action_time
        ws.cell(row=self.rows, column=2).value = action
        ws.cell(row=self.rows, column=3).value = event.src_path
        self.rows += 1
        wb.save(filename)
    def on_created(self, event):
        action_time = time.strftime("%Y-%m-%d %H:%M:%S", time.localtime())
        action = "创建"
        created_log = action_time + ' ' + action + event.src_path
        print(created_log)
        ws.cell(row=self.rows, column=1).value = action_time
        ws.cell(row=self.rows, column=2).value = action
        ws.cell(row=self.rows, column=3).value = event.src_path
        self.rows += 1
        wb.save(filename)
    def on_moved(self, event):
        action_time = time.strftime("%Y-%m-%d %H:%M:%S", time.localtime())
        action = "移动"
        moved_log = action_time + ' ' + action + event.src_path
        print(moved_log)
        ws.cell(row=self.rows, column=1).value = action_time
        ws.cell(row=self.rows, column=2).value = action
        ws.cell(row=self.rows, column=3).value = event.src_path
        self.rows += 1
        wb.save(filename)
    def on_deleted(self, event):
        action_time = time.strftime("%Y-%m-%d %H:%M:%S", time.localtime())
        action = "删除"
        deleted_log = action_time + ' ' + action + event.src_path
        print(deleted_log)
        ws.cell(row=self.rows, column=1).value = action_time
        ws.cell(row=self.rows, column=2).value = action
        ws.cell(row=self.rows, column=3).value = event.src_path
        self.rows += 1
        wb.save(filename)
def mkdir(path):
    folder = os.path.exists(path)
    if not folder:  # 判断是否存在文件夹如果不存在则创建为文件夹
        os.makedirs(path)  # makedirs 创建文件时如果路径不存在会创建这个路径
    else:
        pass
if __name__ == "__main__":
    print(r"""
    [+] Please enter your Destination of monitoring path after the monitor.py
    [+] Example: python monitor.py D:\test
    [+] Default monitoring path is current path if you don't enter any path
    [+] The logs will be saved in D:\Monitoring record
    """)
    des_file = sys.argv[1] if len(sys.argv) > 1 else "."
    # 创建目录
    path = r"D:\Monitoring record"
    mkdir(path)
    wb = openpyxl.Workbook()
    # 新建一个excel文件，并且在单元表为"sheet1"的表中写入数据
    ws = wb.create_sheet("sheet1")
    # 调整列宽
    ws.column_dimensions['A'].width = 20.0
    ws.column_dimensions['B'].width = 10.0
    ws.column_dimensions['C'].width = 80.0
    # 在单元格中写入数据
    ws.cell(row=1, column=1).value = "时间"
    ws.cell(row=1, column=2).value = "行为"
    ws.cell(row=1, column=3).value = "文件路径"
    # 日志文件名
    filename = path + "\\\\" + time.strftime("%Y-%m-%d %H-%M-%S", time.localtime()) + ".xlsx"
    event_handler = MyHandler()
    observer = Observer()
    observer.schedule(event_handler, path=des_file, recursive=True)
    observer.start()
    try:
        while True:
            time.sleep(0.1)
    except KeyboardInterrupt:
        observer.stop()
    observer.join()

4、系统实现结果

如果要监控“D:\监控文件夹”下的内容，运行monitor.py，命令：python monitor.py D:\监控文件夹

此时程序就在后台监控目标路径的文件了，在监控文件夹的创建，修改，删除等操作等会显示在终端中

而操作的记录也会保存到D:\Monitoring record的文件夹的excel表格的sheet1表中

5、总结

（1）问题及解决方案

问题1：每次启动程序后，操作记录写入excel中，都会覆盖写入，而不是追加写入，因此旧的操作记录将会消失
解决1：每次重新启动程序，获取当前时间，并将程序启动时刻作为文件名来命名excel表，因此每次重新启动程序都会有一张新的excel表而不会覆盖写旧表。

（2）收获

通过自己动手，又学会了一项新技能，拓展了知识面，锻炼了代码编写能力

（3）优缺点

优点：①可以让用户自主选择监控文件夹 ②有良好的使用提示（运行程序时显示的4条Tips）③重写了events的函数和类
缺点：①相对于目前其他程序实现的功能基本比较完善，但是有些功能点还没有实现，例如监控键盘的操作记录，这个可以使用python的pynput模块来完成，具体可以参考之前的博客https://wolke.cn/post/90a9d002.html，这样结合起来不仅可以监控操作了什么文件，更可以监控修改了什么内容。

使用WatchDog监控文件