PowerShell监控文件变化技巧

想在Windows系统中实时、精准地捕获文件夹内任何创建、修改、删除或重命名操作？本文深入解析PowerShell基于.NET FileSystemWatcher类的三大实战方案：从即开即用的脚本内嵌监听（适合快速调试），到稳定可靠的后台作业运行（避免会话中断），再到面向生产环境的跨会话持久化部署（结合PSFramework与计划任务实现开机自启、长期值守），每种方法均附可直接运行的完整代码和详细步骤，助你轻松构建企业级文件变更监控体系。

如果您希望在Windows系统中实时捕获指定文件夹内的创建、修改、删除或重命名等操作，PowerShell提供了基于.NET Framework的FileSystemWatcher类实现高精度监听。以下是多种可直接运行的监控方案：

一、使用PowerShell脚本内嵌FileSystemWatcher对象

该方法通过实例化.NET FileSystemWatcher类，在当前会话中启动异步事件监听，无需外部依赖，适用于临时调试或轻量级自动化场景。

1、以管理员权限打开PowerShell窗口。

2、执行以下命令定义监控路径与事件动作：

$watcher = New-Object System.IO.FileSystemWatcher

3、设置要监控的目标路径，例如C:\Temp：

$watcher.Path = "C:\Temp"

4、启用子目录递归监听（可选）：

$watcher.IncludeSubdirectories = $true

5、指定需响应的变更类型组合：

$watcher.NotifyFilter = [System.IO.NotifyFilters]::FileName, [System.IO.NotifyFilters]::LastWrite

6、定义当文件被创建时触发的脚本块：

$action = { Write-Host "检测到文件创建：" $Event.SourceEventArgs.Name -ForegroundColor Green }

7、注册Created事件处理器：

Register-ObjectEvent $watcher Created -Action $action

8、启动监听器并保持会话活跃：

$watcher.EnableRaisingEvents = $true

9、如需停止监听，执行：$watcher.EnableRaisingEvents = $false

二、将FileSystemWatcher封装为后台作业持续运行

该方法利用Start-Job启动独立进程执行监听逻辑，避免主PowerShell会话退出导致监控中断，适合长期驻留任务。

1、构造完整监听脚本内容并保存为字符串：

$scriptBlock = {

    $watcher = New-Object System.IO.FileSystemWatcher

    $watcher.Path = "C:\Logs"

    $watcher.Filter = "*.log"

    $watcher.NotifyFilter = [System.IO.NotifyFilters]::LastWrite

    $action = {

        $path = $Event.SourceEventArgs.FullPath

        $changeType = $Event.SourceEventArgs.ChangeType

        $logEntry = "$(Get-Date) - $changeType : $path"

        Add-Content -Path "C:\WatcherLog.txt" -Value $logEntry

    }

    Register-ObjectEvent $watcher Changed -Action $action | Out-Null

    $watcher.EnableRaisingEvents = $true

    while ($true) { Start-Sleep -Seconds 1 }

}

2、使用Start-Job启动后台作业：

Start-Job -ScriptBlock $scriptBlock -Name FileWatcherJob

3、查看作业状态是否正常运行：

Get-Job -Name FileWatcherJob

4、如需终止监听，执行：Stop-Job -Name FileWatcherJob; Remove-Job -Name FileWatcherJob

三、通过PowerShell模块实现跨会话持久化监听

该方法借助PSFramework配置持久化参数，并结合Windows计划任务在系统启动后自动加载监听服务，适用于生产环境部署。

1、安装PSFramework模块（若未安装）：

Install-Module PSFramework -Force -Scope CurrentUser

2、编写监听配置脚本watcher.ps1，内容包含初始化与事件注册逻辑：

Import-Module PSFramework

Set-PSFConfig -FullName 'FileWatcher.RootPath' -Value "D:\Projects"

3、定义事件处理函数并绑定到FileSystemWatcher实例：

function Invoke-OnFileChange { param($e) Write-PSFMessage -Level Host -Message "变更事件：$($e.ChangeType) $($e.Name)" }

4、创建全局Watcher变量供后续管理：

$global:Watcher = New-Object System.IO.FileSystemWatcher

$global:Watcher.Path = (Get-PSFConfigValue -FullName 'FileWatcher.RootPath')

5、注册所有四类事件（Created、Deleted、Changed、Renamed）并启用：

Register-ObjectEvent $global:Watcher Created -Action ${function:Invoke-OnFileChange} | Out-Null

Register-ObjectEvent $global:Watcher Deleted -Action ${function:Invoke-OnFileChange} | Out-Null

Register-ObjectEvent $global:Watcher Changed -Action ${function:Invoke-OnFileChange} | Out-Null

Register-ObjectEvent $global:Watcher Renamed -Action ${function:Invoke-OnFileChange} | Out-Null

$global:Watcher.EnableRaisingEvents = $true

6、将该脚本设为开机自启：使用Task Scheduler新建基本任务，触发器设为“登录时”，操作设为“启动程序”，程序为powershell.exe，参数为-ExecutionPolicy Bypass -File "D:\Scripts\watcher.ps1"

到这里，我们也就讲完了《PowerShell监控文件变化技巧》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！