Linux常用命令之 查找命令 find —— 细说 -atime,-mtime,-ctime
我们知道 Linux里面一切皆文件 ,那么我们能否查看一个文件是何时创建的呢?答案是否定的。那我们可以知道些文件关于时间的什么信息呢?那就不得不说文件状态的三个时间了,它们分别是 -atime, -ctime 和 -mtime。
先让我们来看一个Linux下的文件信息:
我们可以从中看到,关于时间的信息有三个:最近访问时间 access time (-atime)、最近更改时间 modify time (-mtime) 和 最近状态改动时间 change time(-ctime),当然我们也看到了创建时间那一项为空白,也证实了Linux系统下是无法查看文件的创建时间的。
下面具体解释这三个时间:
atime : 它代表着最近一次访问文件的时间,显示一个文件的内容或者运行一个shell脚本会更新文件的atime。可用ls -lu命令查看。有一个要注意的就是,在kernel版本2.6.30之前,linux的核心开发人员针对Ext3/Ext4文件系统的性能进行了讨论,其中包括atime。在kernel 2.6.30之前,文件系统中默认会及时的更新atime,而在此之后的版本里,只有发生以下三种情况之一才会更新atime
- 将分区mount的挂载的时候指定采用非relatime方式
- atime小于ctime或者小于mtime的时候
- 本次的access time和上次的atime超过24个小时
mtime : 它代表着最近一次文件内容被修改的时间。可用ls -l 命令查看。
ctime : 它代表着最近一次文件状态改变的时间 ,是status change time,是在写入文件、更改所有者、权限或链接设置时随 Inode 的内容更改而更改,即文件状态最后一次被改变的时间。可用ls -lc 命令查看。
演示一下命令的运行结果:
现在来看一下查看文件之后atime有什么变化
可以看到,在执行查看命令cat之后,文件的atime进行了更新。那如果对文件内容进行了更改呢?
在更改了文件内容之后,在对文件的详细信息进行查看,对比之后我们可以看到,mtine和ctime都改变了,那这意味着mtime和ctime是一样的么?前面已经说过,ctime是指 inode 的改变。那既然我们对文件的内容进行了更改,那它的mtime已经改变,所以ctime也就会改变咯。也就是说只要mtime改变,ctime就一定会改变。那怎样使得ctime改变而其他不变呢?我们可以通过改变文件的权限、用户、所属组等来实现。下面举例:
当然,我们既然可以查看当前的atime、mtime、ctime,那肯定也可以查看几天前或者几天之内被改过或者访问过的文件。Linux为我们提供了一个简便的查询方式,那就是 +n 和 -n。下面以 -mtime 举例说明:
-mtime n : n为数字,意思为在n天之前的“一天之内”被更改过内容的文件
-mtime +n : 列出在n天之前(不含n天本身)被更改过内容的文件名
-mtime -n : 列出在n天之内(含n天本身)被更改过内容的文件名
例如:将系统24小时内更改过内容的档案列出 。
find / -mtime 0
那么,找 “5天之内被更改过的档案名” 就是 find / -mtime -5 ,找“5天前的那一天被更改过的档案名” 就是 find / -mtime 5 ,找“5天之前被更改过的档案名” 就是 find / -mtime +5。我们可以看出有没有 “+,-”的差别是很大的。下面用图来说明一下:
由这个时光轴我们可以知道,最右边为当前时,+5 代表大于等于 6 天前的档案名, -5 代表小于等于 5 天内的档案名,5 则是代表 5-6 那一天的档案名。