查找文件工具find

与locate、whereis命令相比，find具有本质的区别：

首先，find是从指定的位置进行遍历查找（可以理解为对文件和目录进行逐一查找）。

其次，find可以查找具有某一类特征的文件（例如查找具有某个权限特征的文件等），非常适合于批量处理具有某一类特征的文件。

一、find基本格式

命令格式：

find [path] [expression]

参数解析：

path：find查找路径。如果未指定，则默认为当前工作目录。

expression：用于定义find查找的表达式，表达式通常由选项、测试和动作3类参数组成。

（1）选项用于指定find查找的目录、帮助等信息，常用的选项及其含义如下：

help：获得find命令的帮助信息。

depth：先从当前目录中查找，然后再从当前目录的子目录中查找。

maxdepth LEVELS：向下搜索到第LEVELS层目录，当LEVELS=0时表示只在当前目录查找。

mindepth LEVELS：至少向下搜索LEVELS层目录。

mount：不搜索远程文件系统

follow：搜索如果遇到连接文件时就连同连接文件所指向的文件一并检查。

（2）测试参数是一些使得输出更加详细的参数，常用的测试参数及含义：

name：按文件名查找。

perm：按文件权限查找。

type：查找某一类型的文件。

mtime +n-n：按文件的修改时间查找，+n表示修改时间距现在n天以前，-n表示修改时间距现在n天以内。

atime +n-n：按文件的访问时间查找文件。

size n [c]：查找文件长度为n块的文件，c表示文件大小为n字节的文件。

user：按文件属主查找。

group：按文件属组查找。

nouser：查找没有有效属主的文件（文件在/etc/passwd文件中不存在）

nogroup：查找没有有效属组的文件（文件在/etc/group文件中不存在）

（3）动作参数指定find命令如何查找和处理找到的文件，常用的动作有如下4种：

prune：不在指定目录中查找。

print：将查找到的文件输出到标准输出。

exec：对查找到的文件执行exec动作后面附带的shell命令。

ok：对查找到的文件执行ok动作后面附带的shell命令，在每次执行前将提示用户是否执行。

find有许多参数，大多数情况下，使用该命令都至少要包含一个测试和一个动作，才能完成整个查找任务。

二、用法示例分类讲解

1、按文件名称查找

（1）在/etc目录下查找Samba服务的配置文件smb.conf：

[root@localhost zhu]# find /etc -name "smb.conf" -print
/etc/samba/smb.conf

（2）查找/etc目录下所有的配置文件：

[root@localhost zhu]# find /etc -name "*.conf" -print
/etc/sestatus.conf
/etc/updatedb.conf
/etc/cups/snmp.conf
/etc/cups/pdftops.conf
/etc/cups/printers.conf
/etc/cups/classes.conf
/etc/cups/cupsd.conf
/etc/cups/client.conf
...

（3）在当前目录下查找名为messages的文件：

[root@localhost zhu]# find -name "messages" -print

（4）在一个很大的文件系统上进行查找时，可能会花费很长时间，通常建议使用操作符&将find命令放到后台执行：

[root@localhost zhu]# find / -name "*.conf" &>tmp.txt &

2、按文件权限查找

使用perm参数可以按照文件的权限进行查找，使用此参数时，需要使用八进制表示权限。按权限查找文件通常用在多用户系统中，以便于发现可能导致泄密、不安全的内容等。

提示：使用八进制表示权限的方法称为绝对模式，绝对模式使用数字4表示读权限，2表示写权限，1表示执行权限，使用多权限时只需将数值相加即可。使用3位数字表示多用户权限，从左起分别表示属主（u）、属组（g）和其他用户（o）权限。

（1）在整个文件系统上查找属主可以读、写，属组可以读、写，其他用户可以读的文件：

[root@localhost zhu]# find / -perm 664 -print

（2）在当前目录的file子目录下查找其他用户可以读、写、执行的文件（这种情况应该引起重视），此时应该在权限数值前面加一个横杠“-”（“-”表示包含模式）：

[root@localhost zhu]# find -perm -007 -print

上述命令将输出其他用户可读、写、执行的所有文件，属主和属组的访问权限将被find忽略。

3、按文件类型查找

（1）查找/dev目录下有哪些字符设备：

[root@localhost zhu]# find /dev -type c -print
/dev/vcsa7
/dev/vcs7
/dev/vcsa6
/dev/vcs6
/dev/vcsa5
/dev/vcs5
...

此时find列出了/dev目录下所有的字符设备，其中包括光驱、终端和控制台等。

（2）查找目录/dev目录下有哪些块设备文件：

[root@localhost zhu]# find /dev -type b -print
/dev/md0
/dev/fd0u800
/dev/fd0u1120
/dev/fd0u1040

此时find列出了/dev目录下所有的块设备文件，包括磁盘、软驱、阵列等。

（3）查找/etc/rc3.d中除了链接文件以外的文件（通常情况下这个目录下只会存放链接文件）：

#其中l表示链接文件，感叹号！表示否定
[root@localhost zhu]# find /etc/rc3.d ! -type l -print

提示：参数type使用的文件标识除普通文件使用f作为标识外，其他标识都与ls命令的长格式中的文件类型标识一致，例如字母d表示目录，l表示链接文件等。

4、按文件的时间戳和大小查找

（1）按时间戳记查找文件：

按文件的时间戳记进行查找时，可以使用+n限定在n天以前，使用-n限定时间在n天以内。虽然可以使用n精确限定时间，但一般不这样使用，原因是系统计算时间是以秒为单位的，因此一般情况下该选项无法得到任何有用的结果。

• 希望在整个文件系统上查找修改时间在一周以内的文件：

[root@localhost zhu]# find / -mtime -7 -print

• 查找用户根目录下修改时间在1天以前的文件：

[root@localhost zhu]# find ~ -mtime +1 -print

• 查找目录/data中访问时间在10天以内的文件：

[root@localhost zhu]# find /data -atime -10 -print

（2）按文件长度查找

使用size按文件大小查找时，可以像时间戳记那样使用+n标识文件长度大于n的文件，-n表示文件长度小于n的文件。默认情况下文件长度的单位是块（一块等于512字节），如果要以字节来计算文件长度，应该在数字后加小写字母c。

• 在当前目录下查找文件长度大于10MB的文件：

[root@localhost zhu]# find . -size +10000000c -print

• 在当前目录下查找文件长度小于30块的文件：

[root@localhost zhu]# find . -size -30 –print

在按文件大小查找时，也可以使用KB（千字节）、MB（兆字节）、GB（吉字节）等较大的单位标志文件的大小。

5、按文件属主和属组查找

当管理员将一个用户或用户组从系统中删除时，可能需要将该用户或用户组的文件收集起来保存一段时间。这时可以使用find命令的user、nouser、group和nogroup这几个参数，查找指定的用户、用户组的文件。

（1）查找目录/home中属主为zhu的文件：

[root@localhost zhu]# find /home -user zhu -print
/home/zhu
/home/zhu/.bashrc
/home/zhu/.bash_history
/home/zhu/.bash_logout
/home/zhu/.bash_profile

（2）在整个文件系统上查找出没有有效属主（即用户名在系统用户名/etc/passwd中不存在）的文件：

[root@localhost zhu]# find / -nouser -print

（3）查找目录/file中属组为admin的文件：

[root@localhost zhu]# find /file -group zhu -print

（4）在整个文件系统中查找没有有效属组（即用户组名称在系统组文件/etc/group中不存在）的文件：

[root@localhost zhu]# find / -nogroup –print

6、find工具的其他参数

（1）忽略目录参数prune

在查找文件的时候，可能不需要查找某个目录，或用户已经知道某个目录不存在这个文件，这时就可以用prune参数忽略这些目录。

例如要从除了/etc以外的整个文件系统上查找以.conf结尾的文件：

[root@localhost zhu]# find / -path "/etc" -prune -o -name "*.conf" –print

上面的示例中，使用参数o将两个不同的参数连接起来。

（2）忽略远程文件系统参数mount

在整个文件系统上查找文件时，如果系统上挂载有远程文件系统，搜索远程文件系统不仅要耗费大量网络资源，还要花费大量时间。这时可以使用mount参数忽略挂载的远程文件系统。

例如要在本地文件系统上查找一个名为file的文件：

[root@localhost zhu]# find / -name "file" -mount –print

注意：使用prune参数查找文件时，如果同时使用了depth参数，find会将prune参数忽略。

7、使用exec和ok处理查找到的文件

使用exec、ok参数执行shell命令的格式如下：

-exec [shell-command] {} \;

-ok [shell-command] {} \;

在上面的格式中，参数exec、ok后面空一格，紧跟着要执行的shell命令，再空一格，后面是一个大括号“｛｝”，再空一格，最后加上一个反斜杠“\”和一个分号“；”。

（1）查找当前目录中，修改时间距离现在一周以前、以message开头的文件，并用ls命令查看：

[root@localhost zhu]# find . -name "message*" -mtime +7 -exec ls -l {} \;

（2）查找并删除两周以内的备份文件：

[root@localhost zhu]# find ./backup_sys -name "message*" -mtime +14 -exec rm {} \;

（3）如果要在执行shell命令时获得命令执行的提示，可以使用ok参数。例如删除两周以前的备份文件并在执行前获得提示：

[root@localhost zhu]# find ./backup_sys -name "message*" -mtime +14 -ok rm {} \;

8、使用xargs命令处理查找到的文件

利用exec和ok参数处理查找到的文件时，存在一些缺陷，这些缺陷如下：

• 系统对参数exec、ok传递给shell命令的文件列表长度有一定的限制。当find命令查找到的文件数量很多时，会出现参数列表溢出错误。
• 参数find命令找到的每一个文件发起一个相应的处理进程，当find命令查找到的文件数量很多时，可能会影响整个系统性能。

xargs命令的作用是构造一个参数列表并交给命令执行。与参数exec、ok相比，xargs不会一次获取并处理find找到的所有文件，而是每次只获取并处理其中的一部分。处理完后再获取下一部分，直至结束。整个过程xargs都只发起一个处理进程，对系统性能的影响很小。

使用xargs命令分割参数列表时，需要借助于管道。例如查找当前目录backup_sys子目录中，修改时间距现在两周以前的所有文件并删除：

[root@localhost zhu]# find ./backup_sys -name "message*" -mtime +14 -print | xargs rm