Linux 文件搜索神器 find 实战详解

大家好,我是肖邦,这是我的第 10 篇原创文章。

在 Linux 系统使用中,作为一个管理员,我希望能查找系统中所有的大小超过 200M 文件,查看近 7 天系统中哪些文件被修改过,找出所有子目录中的可执行文件,这些任务需求 find 命令都可以轻松胜任。

在 Linux 系统文件中常用的属性可以分为以下内容:名称、大小、权限、属主、修改时间、访问时间等,find 命令可以按照指定的属性为条件进行查找。

废话不多,直接开干,下边进入案例实战。

案例实战

(一)按文件名称查找

按照文件名称查找是 find 最常见的用法,需要注意的是,搜索的文件名必须完全匹配,才能找到对应的文件。

1. 查找当前目录下所有 go 文件

$ find . -name "*.go"

2. 在 etc 目录下,查找大写字母开头的 txt 文件

$ find /etc -name "[A-Z]*.txt" -print

3. 在当前目录下查找不是 out 开头的 txt 文件

$ find . -name "out*" -prune -o -name "*.txt" -print

4. 在当前目录除 git 子目录外查找 txt 文件

$ find . -path "./git" -prune -o -name "*.txt" -print

5. 找出某个文件的所有硬链接,ls 命令 -i 选项可以查看文件的 inode 号

$ ls -i 1.txt
138956 1.txt
$ find . -num 138956

这里补充一个小技巧,搜索文件时使用 -iname 参数可以忽略文件名称大小写

(二)按文件类型查找

1. 在当前目录下,查找软连接文件

$ find . -type l -print

2. 在当前目录下,查找 log 结尾的普通文件,f 表示普通文件类型

$ find . -type f -name "*.log"

(三)按文件大小查找

1. 查找小于 64k 的文件

$ find . -size -64k -print

2. 查找大小超过 200M 的文件

$ find . -size +200M -type f -print

(四)按时间查找

1. 查找 2 天内被修改过的文件

$ find . -mtime -2 -type f -print

2. 查找 2 天前被更改过的文件,-mtime 表示内容修改时间

$ find . -mtime +2 -type f -print

3. 查找一天内被访问的文件,-atime 表示访问时间

$ find . -atime -1 -type f -print

4. 查找一天内状态被改变的文件,-ctime 表示元数据被变化时间

$ find . -ctime -1 -type f -print

5. 查找比 chopin.txt 新的文件

$ find . -newer "chopin.txt" -type f -print
$ find . ! -newer "chopin.txt" -type f -print # 旧

(五)根据权限查找

1. 查找当前目录权限为 644 的文件

$ find . -type f -perm 644

2. 查找 etc 目录下至少有一个用户有写权限的文件

$ find /etc -type f -perm /222

3. 查找 etc 目录下所有用户都有执行权限的文件

$ find /etc -perm -111 -ls

(六)组合条件

1. 查找当前目录下属于 chopin 用户的普通文件,-a 可以省略

$ find . -type f -a -user chopin -print

2. 查找当前目录下大于 2M 或 2 天前被修过的文件

$ find . -size +2M -o -mtime +2 -print

3. 查找当前目录下不是普通文件

$ find . -not -type f
$ find . ! -type f

4. 查找非空文件

$ find . ! -empty

(七)处理动作

find 根据上述各种条件查找后,支持执行相关的处理动作,可以让我们的更方便和灵活,而不只是打印出来

1. -print 默认为打印,可省略

$ find . -name "*.log" -print
$ find . -name "*.log" # 等价

2. -ls 以 ls 长文件的格式形式输出

$ find . -name "*.txt" -ls
138957      4 -rw-r--r--   1 root     root           16 Jan 24 23:20 ./a.txt
138959      4 -rw-r--r--   1 root     root          172 Jan 24 13:06 ./T.txt
138956      4 -rw-r--r--   1 root     root           27 Jan 24 23:28 ./1.txt

3. -delete 删除查找到的文件

$ find . -size +100M -delete

4. -exec 将查找到的文件传递给 command 命令。下边例子是将查找到的文件传递给了 ls 命令,同理我们可以传递给任何一个 Linux 命令,功能十分强大,也很灵活。

$ find . -name "*.txt" -exec ls -lh {} \;
-rw-r--r-- 1 root root 16 Jan 24 23:20 ./a.txt
-rw-r--r-- 1 root root 172 Jan 24 13:06 ./T.txt
-rw-r--r-- 1 root root 27 Jan 24 23:28 ./1.txt

5. -ok-exec 功能一样,只是操作时会提示用户确认,仅此而已。当然,在生产环境上,我们还是推荐使用 ok

(八)经典案例

如果存在一个名称乱码的文件,想要删除它,该怎么办?即使我们复制乱码名称到命令行,很有可能终端不能正确识别。不用担心,下边来展示下 find 是如何优雅的解决问题的。

$ ls  -i
138957 a.txt  138959 T.txt  132395 ڹ��.txt

$ find . -inum 132395 -exec rm {} \;

命令中,-inum 指定的是文件的 inode 号,它是系统中每个文件对应的唯一编号,find 通过编号找到后,执行删除操作。

总结归纳

find 命令是 Linux 命令中最有用的命令之一,它的功能非常强大,且语法复杂。其实我们不一定需要了解它的所有细节,掌握上述实战案例中的常见用法,足够满足日常工作中的大部分需求。

下边我们一起来总结下 find 命令常见用法,加深对 find 使用方法的理解。

命令格式

find path -option [-exec ...]

按文件名查找

  • -name:按照文件名称查找,准确匹配;
  • -iname:不区分文件名的大小写;
  • -inode:按照文件 inode 号查找;

按照文件类型查找

按照文件类型查找,可以使用 -type 选项,具体支持的文件类型如下:

  • f:普通文件
  • d:目录文件
  • l:链接文件
  • s:套接字文件
  • p:管道文件
  • b:块设备文件,比如:磁盘
  • c:字符设备文件,比如:键盘、鼠标、网卡

按照文件从属关系查找

  • -user:以用户名查找
  • -group:以组名查找
  • -uid:以用户 ID 查找
  • -gid:以组 ID 查找
  • -nouser:查找没有属主的文件
  • -nogroup:查找没有属组的文件

按照文件大小查找

按照文件大小查找功能十分常用,用 -size 选项,选项后边指定大小 1024M,表示大小的格式有如下几种:

  • -5M:查找小于 5M 的文件
  • +5M:查找大于 5M 的文件
  • 5M:查找大小为 5M 的文件

单位支持的有 c(字节)kMG 等,需要注意的是默认单位并不是字节,而是 b,大小为 512 字节。

按照时间查找

按照时间查找的功能对系统管理员来说,十分常用,find 支持如下几种时间类型:

  • atime:以访问时间查找
  • mtime:以数据修改时间查找
  • ctime:以元数据修改时间查找
  • newer:以文件为条件,判断比它新的文件

按时间查找时,使用格式如下:

  • -atime -5:表示 5 天内访问过的文件;
  • -atime +5:表示 6 天前访问过的文件;
  • -atime 5:表示前 5-6 那一天访问的文件;

这个 +5 含义总是被人理解错,误认为是 5 天后修改的文件,如果能知道未来 5 天的事情,小编早就去买彩票了!可能这么说还不是很清楚,直接看图吧!

find 不仅可以按 为单位来查找文件,可以按照 aminmmincmin 来查找,区别只是 min 选项单位为分钟。

按照权限查找

按权限查找是通过 -perm 选项,可以按照如下方式使用:

  • -perm 644:精确权限查找
  • -perm /666:任何一类用户中的任何一位符合条件即满足
  • -perm -222:每一类用户的每一位同时符合条件即满足

组合条件

find 可以使用多个条件的组合,支持 -a-o-not!,比较简单,不再详细描述其含义。

处理动作

find 根据各种条件查找后,支持执行相关的处理动作,可以让我们的更方便和灵活,而不只是打印出来。

  • -print:打印,默认动作,可省略
  • -ls:以 ls 长文件格式输出
  • -delete:删除查找到的文件
  • -exec:查找到的文件传递给任何 Linux 命令
  • -ok:与 exec 功能相同,区别是需要用户确认每次的操作

再啰嗦一下,find 命令支持的参数和选项比较多,文中只是总结出最常用、核心的参数选项。如果上述命令确实不满足需求,可以请教你的男人 man find

这里需要提一下,find 搜索文件时通过扫描磁盘来进行的,尽可能不要大范围的搜索文件,尤其是在 / 目录下搜索,会长时间消耗服务器的 cpu 资源。如果是生产环境的机器,执行前要考虑是否会对业务造成影响。

扩展 locate

虽然 find 功能非常强大,但要知道的是,find 执行过程是通过扫描磁盘文件来进行查找的,如果大范围的查找文件,需要花费的时间很长,且消耗服务器 cpu 资源。

这里推荐另一个 Linux 文件查找神器 locate,类似于 win 平台下的 everything。它基于索引表进行查询,查询速度非常快,基本不占用 cpu 资源。

使用方法非常简单

$ locate file.txt
$ locate /etc/httpd

需要注意,如果是当天新创建的文件,通过 locate 默认是查不到的,因为它的数据库默认是每天自动更新一次。如果希望查询到当天创建的新文件,需要执行 updatedb 即可。

查找速度快是 locate 的优势,但它的缺点也非常明显:

  • 模糊查询
  • 查找匹配模式单一
  • 查询的名称匹配路径命令
  • 索引表的建立会占用磁盘空间
  • 非实时查询,当天数据可能查不到

好了,到这里关于 find 命令的全部内容已经结束,希望文中的案例和总结能够帮助你更好的使用它。同时也强烈建议收藏本文,以作为 Linux 常用命令手册。

好了,本次分享就到这里了!谢谢大家,我是肖邦,欢迎关注后续的精彩内容。

 

出处:https://www.cnblogs.com/liwei0526vip/p/14354590.html

=======================================================================================

Linux中15个Find命令示例

基于访问/修改/更改时间查找文件

你可以找到基于以下三个文件的时间属性的文件。

  1. 访问时间的文件。文件访问时,访问时间得到更新。
  2. 的文件的修改时间文件内容修改时,修改时间得到更新。
  3. 更改文件的时间。更改时间时,被更新的inode数据的变化

在下面的例子中,min选项之间的差异和时间选项是参数。

  • 分论点将它的参数为分钟。例如,60分钟(1小时)= 60分钟。
  • 时间参数,将它的参数为24小时。例如,时间2 = 2 * 24小时(2天)。
  • 虽然这样做的24个小时计算,小数部分都将被忽略,所以25小时为24小时,和47小时取为24小时,仅48小时为48小时。要获得更清晰的参考atime的部分find命令的手册页。

例1:找到在1个小时内被更改的文件

想要通过文件修改时间找出文件,可以使用参数 -mmin -mtime。下面是man手册中有关mmin和mtime的定义。

  • -mmin n 文件最后一次修改是在n分钟之内
  • -mtime n 文件最后一次修改是在 n*24小时之内(译者注:也就是n天了呗)

执行下面例子中的命令,将会找到当前目录以及其子目录下,最近一次修改时间在1个小时(60分钟)之内的文件或目录

1 # find . -mmin -60

同样的方式,执行下面例子中的命令,将会找到24小时(1天)内修改了的文件(文件系统根目录 / 下)

1 # find / -mtime -1

例2:找到1个小时内被访问过的文件

想要通过文件访问时间找出文件,可以使用参数 -amin -atime。下面是man手册中有关amin和atime的定义。

  • -amin n 文件最后一次访问是在n分钟之内
  • -atime n 文件最后一次访问是在 n*24小时之内

执行下面例子中的命令,将会找到当前目录以及其子目录下,最近一次访问时间在1个小时(60分钟)之内的文件或目录

1 # find . -amin -60

同样的方式,执行下面例子中的命令,将会找到24小时(1天)内被访问了的文件(文件系统根目录 / 下)

1 # find / -atime -1

例3:查找一个小时内状态被改变的文件

(译者注:这里的改变更第1个例子的更改文件内容时间是不同概念,这里是更改的是文件inode的数据,比如文件的权限,所属人等等信息)

要查找文件的inode的更改时间,使用-cmin和-ctime选项

  • -cmin n  文件的状态在n分钟内被改变
  • -ctime n  文件状态在n*24小时内(也就是n天内)被改变

(译者注:如果上面的n为-n形式,则表示n分钟/天之内,n为+n则表示n分钟/天之前)

下面的例子在当前目录和其子目录下面查找一个小时内文件状态改变的文件(也就是60分钟内):

1 # find . -cmin -60

同样的道理,下面的例子在根目录/及其子目录下一天内(24小时内)文件状态被改变的文件列表:

1 # find / -ctime -1

例4:搜索仅仅限定于文件,不显示文件夹

上面的例子搜索出来不仅仅有文件,还会显示文件夹。因为当一个文件被访问的时候,它所处的文件夹也会被访问,如果你对文件夹不感兴趣,那么可以使用 -type f 选项

下面的例子会显示30分钟内被修改过的文件,文件夹不显示:

01 # find /etc/sysconfig -amin -30
02 .
03 ./console
04 ./network-scripts
05 ./i18n
06 ./rhn
07 ./rhn/clientCaps.d
08 ./networking
09 ./networking/profiles
10 ./networking/profiles/default
11 ./networking/profiles/default/resolv.conf
12 ./networking/profiles/default/hosts
13 ./networking/devices
14 ./apm-scripts
15 [注: 上面的输出包含了文件和文件夹]
16  
17 # find /etc/sysconfig -amin -30 -type f
18 ./i18n
19 ./networking/profiles/default/resolv.conf
20 ./networking/profiles/default/hosts
21 [注: 上面的输出仅仅包含文件]

 

例5: 仅仅查找非隐藏的文件(不显示隐藏文件):

如果我们查找的时候不想隐藏文件也显示出来,可以使用下面的正则式查找:

下面的命令会显示当前目录及其子目录下15分钟内文件内容被修改过的文件,并且只列出非隐藏文件。也就是说,以.开头的文件时不会显示出来的

1 # find . -mmin -15 \( ! -regex ".*/\..*" \)

基于文件比较的查找命令

我们平时通过更别的东西进行比较,会更容易记住一些事情。比如说我想找出在我编辑test文件之后编辑过的文件。你可以通过test这个文件的编辑时间作为比较基准去查找之后编辑过的文件:

例6: 查找文件修改时间在某一文件修改后的文件:

1 语法: find -newer FILE

下面的例子显示在/etc/passwd修改之后被修改过的文件。对于系统管理员,想知道你新增了一个用户后去跟踪系统的活动状态是很有帮助的(万一那新用户不老实,一上来就乱搞,你很快就知道了  ^_^):

1 # find -newer /etc/passwd

例7:查找文件访问时间在某一文件的修改时间之后的文件:

1 # find -newer /etc/passwd

下面的例子显示所有在/etc/hosts文件被修改后被访问到的文件。如果你新增了一个主机/端口记录在/etc/hosts文件中,你很可能很想知道在那之后有什么文件被访问到了,下面是这个命令:

1 # find -anewer /etc/hosts

例8:查找状态改变时间在某个文件修改时间之后的文件:

1 语法: find -cnewer FILE

下面的例子显示在修改文件/etc/fstab之后所有文件状态改变过的文件。如果你在/etc/fstab新增了一个挂载点,你很可能想知道之后哪些文件的状态发生了改变,这时候你可以使用如下命令:

1 # find -cnewer /etc/fstab

在查找到的文件列表结果上直接执行命令:

这之前你已经看到了如果通过find命令去查找各种条件的文件列表。如果你对这些find命令还不熟悉,我建议你看完上面的第一部分

接下来这部分我们向你介绍如果在find命令上执行各种不同的命令,也就是说如何去操作find命令查找出来的文件列表。

我们能在find命令查找出来的文件名列表上指定任意的操作:

1 # find <CONDITION to Find files> -exec <OPERATION> \;

其中的OPERATION可以是任意的命令,下面列举一下比较常用的:

  •  rm 命令,用于删除find查找出来的文件
  •  mv 命令,用于重命名查找出的文件
  •  ls -l 命令,显示查找出的文件的详细信息
  •  md5sum, 对查找出的文件进行md5sum运算,可以获得一个字符串,用于检测文件内容的合法性
  •  wc 命令,用于统计计算文件的单词数量,文件大小等待
  •  执行任何Unix的shell命令
  •  执行你自己写的shell脚本,参数就是每个查找出来的文件名

例9:在find命令输出上使用 ls -l, 列举出1小时内被编辑过的文件的详细信息

1 # find -mmin -60
2 ./cron
3 ./secure
4  
5 # find -mmin -60 -exec ls -l {} \;
6 -rw-------  1 root root 1028 Jun 21 15:01 ./cron
7 -rw-------  1 root root 831752 Jun 21 15:42 ./secure

例10:仅仅在当前文件系统中搜索

系统管理员有时候仅仅想在/挂载的文件系统分区上搜索,而不想去搜索其他的挂载分区,比如/home/挂载分区。如果你有多个分区被挂载了,你想在/下搜索,一般可以按下面的这样做

下面这个命令会搜索根目录/及其子目录下所有.log结尾的文件名。如果你有多个分区在/下面,那么这个搜索会去搜索所有的被挂载的分区:

1 # find / -name "*.log"

如果我们使用-xdev选项,那么仅仅会在在当前文件系统中搜索,下面是在xdev的man page上面找到的一段-xdev的定义:

  • -xdev Don’t descend directories on other filesystems.

下面的命令会在/目录及其子目录下搜索当前文件系统(也就是/挂载的文件系统)中所有以.log结尾的文件,也就是说如果你有多个分区挂载在/下面,下面的搜索不会去搜索其他的分区的(比如/home/)

1 # find / -xdev -name "*.log"

例11: 在同一个命令中使用多个{}

linux手册说命令中只能使用一个{},不过你可以像下面这样在同一个命令中使用多个{}

1 # find -name "*.txt" cp {} {}.bkup \;

注意,在同一个命令中使用这个{}是可以的,但是在不同的命令里就不行了,也就是说,如果你想象下面这样重命名文件是行不通的

1 find -name "*.txt" -exec mv {} `basename {} .htm`.html \;

例12: 使用多个{}实例

你可以像下面这样写一个shell脚本去模拟上面那个重命名的例子

1 # mv "$1" "`basename "$1" .htm`.html"

上面的双引号是为了防止文件名中出现的空格,不加的话会有问题。然后你把这个shell脚本保存为mv.sh,你可以像下面这样使用find命令了

1 find -name "*.html" -exec ./mv.sh '{}' \;

所以,任何情况下你在find命令执行中想使用同一个文件名多次的话,先写一个脚本,然后在find中通过-exec执行这个脚本,把文件名参数传递进去就行,这是最简单的办法

例13: 将错误重定向到/dev/nul

重定向错误输出一般不是什么好的想法。一个有经验的程序员懂得在终端显示错误并及时修正它是很重要的。

尤其是在find命令中重定向错误不是个好的实践。 但是如果你确实不想看到那些烦人的错误,想把错误都重定向到null设备中(也就是linux上的黑洞装置,任何丢进去的东西消失的无影无踪了)。你可以像下面这样做

1 find -name "*.txt" 2>>/dev/null

有时候这是很有用的。比如,如果你想通过你自己的账号在/目录下查找所有的*.conf文件,你会得到很多很多的"Permission denied"的错误消息, 就像下面这样:

01 find / -name "*.conf"
02 /sbin/generate-modprobe.conf
03 find: /tmp/orbit-root: Permission denied
04 find: /tmp/ssh-gccBMp5019: Permission denied
05 find: /tmp/keyring-5iqiGo: Permission denied
06 find: /var/log/httpd: Permission denied
07 find: /var/log/ppp: Permission denied
08 /boot/grub/grub.conf
09 find: /var/log/audit: Permission denied
10 find: /var/log/squid: Permission denied
11 find: /var/log/samba: Permission denied
12 find: /var/cache/alchemist/printconf.rpm/wm: Permission denied
13 [Note: There are two valid *.conf files burned in the "Permission denied" messages]

你说烦人不?所以,如果你只想看到find命令真实的查找结果而不是这些"Permission denied"错误消息,你可以将这些错误消息重定向到/dev/null中去

1 find / -name "*.conf" 2>>/dev/null
2 /sbin/generate-modprobe.conf
3 /boot/grub/grub.conf
4 [Note: All the "Permission denied" messages are not displayed]

例14: 将文件名中的空格换成下划线

你从网上下载下来的音频文件的文件名很多都带有空格。但是带有空格的文件名在linux(类Unix)系统里面是很不好的。你可以使用find然后后面加上rename命令的替换功能去重命名这些文件,将空格转换成下划线

下面显示怎样将所有mp3文件的文件名中的空格换成_

1 find . -type f -iname “*.mp3″ -exec rename “s/ /_/g” {} \;

例15: 在find结果中同时执行两条命令

在find的man page页面中,下面是一次文件查找遍历中使用两条命令的语法举例

下面的find命令的例子,遍历文件系统一次,列出拥有setuid属性的文件和目录,写入/root/suid.txt文件, 如果文件大小超过100M,将其记录到/root/big.txt中

 

1 # find / \( -perm -4000 -fprintf /root/suid.txt '%#m %u %p\n' \) , \
2  \( -size +100M -fprintf /root/big.txt '%-10s %p\n' \)

 

出处:https://www.cnblogs.com/weifeng1463/p/9429856.html

posted on 2021-03-16 10:16  jack_Meng  阅读(1224)  评论(0编辑  收藏  举报

导航