永久监视特定文件夹中文件创建的最有效和可靠的方法

Question

我需要监控文件夹并在每次创建文件时执行一些操作。我有2个解决方案 - 一个使用WMI，我可以使用此过滤器（从.MOF文件或Powershell脚本调用永久性MWI事件绑定）来每秒轮询文件夹：

SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA "Cim_DirectoryContainsFile" AND TargetInstance.GroupComponent="Win32_Directory.Name='C:\\test'"

示例脚本：

$query = @"
SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA "Cim_DirectoryContainsFile" AND TargetInstance.GroupComponent="Win32_Directory.Name='C:\\test'"
"@

#Set up hash table for splatting
$wmiParams = @{
    Computername = $env:COMPUTERNAME
    ErrorAction = 'Stop'
    NameSpace = 'root\subscription'
}

######################################################################################################################### Filter
#Creating a new event filter
$wmiParams.Class = '__EventFilter'
$wmiParams.Arguments = @{
    Name = 'WatchFiles'
    EventNamespace = 'root\CIMV2'
    QueryLanguage = 'WQL'
    Query = $query 
}
$filterResult = Set-WmiInstance @wmiParams

######################################################################################################################### Consumer
$wmiParams.Class = 'ActiveScriptEventConsumer'
$wmiParams.Arguments = @{
    KillTimeout = 0
    MachineName = $env:COMPUTERNAME
    ScriptingEngine = 'VBScript'
    ScriptText = 
@"
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objFile = objFSO.OpenTextFile("c:\test\Log.log", 8, True)
objFile.WriteLine "hellohellohellohellohellohello"
objFile.Close
"@
    ScriptFileName = $null
    Name = 'ActiveScriptEventConsumer'
}
$consumerResult = Set-WmiInstance @wmiParams

######################################################################################################################### Binding
$wmiParams.Class = '__FilterToConsumerBinding'
$wmiParams.Arguments = @{
    Filter = $filterResult
    Consumer = $consumerResult
}
$bindingResult = Set-WmiInstance @wmiParams

示例MOF文件：

#PRAGMA AUTOREOVER
#pragma namespace("\\\\.\\root\\subscription")

instance of __EventFilter as $EventFilter
{
    Name  = "Event Filter Instance Name";
    EventNamespace = "Root\\Cimv2";
    Query = "Select * From __InstanceCreationEvent Within 1 "
            "Where TargetInstance Isa \"Cim_DirectoryContainsFile\" "
            "and TargetInstance.GroupComponent=\"Win32_Directory.Name=\'C:\\\\test\'\"";
    QueryLanguage = "WQL";
};

instance of ActiveScriptEventConsumer as $Consumer
{
    Name = "TestConsumer";
    ScriptingEngine = "VBScript";

    ScriptFileName = "C:\\test\\test.vbs"


};

instance of __FilterToConsumerBinding
{
    Filter = $EventFilter;
    Consumer = $Consumer;
}; 

这似乎是一种很好的方法，因为我可以自己设置间隔，并且使用WMI总是让我觉得安全，因为它本质上是Windows中内置的解决方案。

另一种方法是编写脚本，例如：

$folderpath = 'C:\test'
$items = Get-ChildItem $folderpath
$currentdatetime = Get-Date

foreach($item in $items) {
    If ($item.CreationTime > $currentdatetime.AddSeconds(-5)){
        # Do some action
    }
}

然后可以将其作为计划任务在系统上运行。

我的问题是 - 这样做的最佳方式是什么？在我所展示的两个选项中，其中一个在系统资源或错误可能性方面本质上更有效率？

有没有其他方法可以做到这一点，我没有考虑过？

Jisaak添加了一个使用System.IO.FilesystemWatcher的答案。不幸的是，这对我的目的来说并不理想，因为只有在执行它的shell打开时才有效，而我想要一个更永久的解决方案（更新问题的标题以反映这一点）

Answer 1

您不希望长时间轮询文件夹以进行文件更改，而是应该在创建文件时使用通知的机制。

因此，您可以使用FileSystemWatcher类并使用Register-ObjectEvent cmdlet注册到created 事件处理程序。

$folder = 'C:\test'
$filter = '*.*'
$fileSystemWatcher = New-Object IO.FileSystemWatcher $folder, $filter -Property @{
 IncludeSubdirectories = $true # Set this according to your requirements.
 NotifyFilter = [IO.NotifyFilters]'FileName, LastWrite'
}

$onCreated = Register-ObjectEvent $fileSystemWatcher Created -SourceIdentifier FileCreated -Action {
 $path = $Event.SourceEventArgs.FullPath
  Write-Host "File $Path was created".

}

运行此命令取消注册：

Unregister-Event -SourceIdentifier FileCreated

Answer 2

根据讨论here，在使用这些类型的事件时，似乎在可靠性或性能方面不存在任何问题。

  

ActiveScript消费者的影响是微不足道的。如果您没有创建一个持续触发的事件，那么该事件是无害的。在设计正确的情况下，我已经使用了近二十年来没有问题。

     

WQL事件过滤器没有POLL。它使用SENS事件生成响应。自从至少W2K以来，SENS一直是Windows的一部分。它基于内核。大量的Windows基于SENS。

他们还提到虽然PowerShell可以使用大约100MB来启动，但WMI事件监控却没有（VBSCript也不是 - ActiveScriptEvent操作的首选脚本语言）。

由于我似乎无法在其他地方找到任何相关信息（即在可靠性/性能方面），我将不得不这样做，因此将使用WMI / WQL /实现我的文件夹监视器MOF。

This文章还为寻找更多详细信息的任何人提供了一些有用的信息。它还建议运行此而不是一些连续的应用程序是更好地使用系统资源，但是它没有提到这是否包括使用计划任务。