确实，文件打开事件的监听比修改/删除要棘手不少——因为大部分系统级的文件监控API默认不会把“打开读取”这类操作暴露出来，毕竟它不像修改那样会改变文件状态。不过还是有几种可行的思路，根据你用的操作系统和技术栈来选：

• 利用ReadDirectoryChangesW+访问时间追踪
  这个API默认监控修改、删除等事件，但如果加上FILE_NOTIFY_CHANGE_LAST_ACCESS标志，就能捕捉文件最后访问时间的变化。不过要注意：Windows 10及以上默认禁用了文件最后访问时间更新，得先通过注册表开启：将HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate设为0。之后你可以通过对比访问时间的变化推断文件被打开过，但要注意排除系统后台进程（比如杀毒扫描）的误触发。

• WMI进程启动监听
  通过Windows的WMI监控进程启动事件，过滤打开目标文件的进程。比如用PowerShell实现：

  $targetFile = "C:\path\to\Sample.docx"
  $query = "SELECT * FROM Win32_ProcessStartTrace WHERE CommandLine LIKE '%$($targetFile.Replace('\','\\'))%'"
  Register-WmiEvent -Query $query -Action { 
      Write-Host "Sample.docx was opened by process $($event.SourceEventArgs.NewEvent.ProcessName)"
      # 在这里执行你的后续任务
  }
  

  缺点是部分程序打开文件时不会在命令行显式带文件名，这时可以配合Sysinternals的Handle工具，检测进程持有的文件句柄来确认。

• macOS：dtrace/dtruss跟踪系统调用
  用dtrace直接跟踪open系统调用，匹配目标文件路径：

  syscall::open:entry
  {
      file_path = copyinstr(arg0);
      if (file_path == "/path/to/Sample.docx") {
          printf("File opened by PID %d (%s)\n", pid, execname);
          # 执行后续任务
      }
  }
  

  新版macOS如果开启了SIP，dtrace会受限，可以用dtruss替代。

• Linux：auditd监控文件访问
  配置audit规则跟踪目标文件的读操作：

  # 添加监控规则
  auditctl -w /path/to/Sample.docx -p r -k docx-open-monitor
  # 实时监控日志
  tail -f /var/log/audit/audit.log | grep docx-open-monitor
  

  这种方式需要管理员权限，且日志里会包含所有访问该文件的事件，需要你自己过滤有效操作。

• 特定应用钩子（比如Office文档）
  如果你的目标是监听Word打开Sample.docx，可以直接用Office VBA添加自动执行宏：

  Sub AutoOpen()
      ' 触发后执行你的任务，比如调用外部脚本
      Shell "powershell.exe -File C:\your-task.ps1", vbHide
  End Sub
  

  这种方式只针对特定应用场景，但实现简单、准确性高。

• 语言库结合进程监控
  比如用Python的psutil库定期检查目标文件的打开句柄，配合watchdog做辅助监控：

  import psutil
  import time
  
  target_path = "/path/to/Sample.docx"
  
  def check_file_open():
      for proc in psutil.process_iter(['pid', 'name', 'open_files']):
          try:
              for file in proc.info['open_files'] or []:
                  if file.path == target_path:
                      print(f"File opened by {proc.info['name']} (PID: {proc.info['pid']})")
                      # 执行后续任务
          except (psutil.NoSuchProcess, psutil.AccessDenied):
              pass
  
  while True:
      check_file_open()
      time.sleep(2)
  

  缺点是轮询会有一定性能开销，且存在延迟。

• 系统级监控几乎都需要管理员/root权限。
• 要区分用户主动打开和系统后台进程的访问（比如索引、杀毒扫描），可以通过进程名称、用户权限等维度过滤。
• 部分方案可能受系统安全策略限制（比如macOS的SIP、Windows的UAC）。

内容的提问来源于stack exchange，提问作者Vishal Gajera