find指令詳解

轉載自：https://www.cnblogs.com/yorkyang/p/6294894.html

find指令的參數；

pathname: find指令所查找的目錄路徑。例如用.來表示目前目錄，用/來表示系統根目錄。

-print： find指令将比對的檔案輸出到标準輸出。

-exec： find指令對比對的檔案執行該參數所給出的shell指令。相應指令的形式為'command' { } \;，注意{ }和\；之間的空格。

-ok：和-exec的作用相同，隻不過以一種更為安全的模式來執行該參數所給出的shell指令，在執行每一個指令之前，都會給出提示，讓使用者來确定是否執行。

#-print 将查找到的檔案輸出到标準輸出

#-exec command {} \; —–将查到的檔案執行command操作,{} 和 \;之間有空格

#-ok 和-exec相同，隻不過在操作前要詢使用者

例：find . -name .svn | xargs rm -rf

====================================================

-name filename #查找名為filename的檔案

-perm #按執行權限來查找

-user username #按檔案屬主來查找

-group groupname #按組來查找

-mtime -n +n #按檔案更改時間來查找檔案，-n指n天以内，+n指n天以前

-atime -n +n #按檔案通路時間來查GIN: 0px">

-ctime -n +n #按檔案建立時間來查找檔案，-n指n天以内，+n指n天以前

-nogroup #查無有效屬組的檔案，即檔案的屬組在/etc/groups中不存在

-nouser #查無有效屬主的檔案，即檔案的屬主在/etc/passwd中不存

-newer f1 !f2 找檔案，-n指n天以内，+n指n天以前

-ctime -n +n #按檔案建立時間來查找檔案，-n指n天以内，+n指n天以前

-nouser #查無有效屬主的檔案，即檔案的屬主在/etc/passwd中不存

-newer f1 !f2 #查更改時間比f1新但比f2舊的檔案

-type b/d/c/p/l/f #查是塊裝置、目錄、字元裝置、管道、符号連結、普通檔案

-size n[c] #查長度為n塊[或n位元組]的檔案

-depth #使查找在進入子目錄前先行查找完本目錄

-fstype #查更改時間比f1新但比f2舊的檔案

-fstype #查位于某一類型檔案系統中的檔案，這些檔案系統類型通常可在/etc/fstab中找到

-mount #查檔案時不跨越檔案系統mount點

-follow #如果遇到符号連結檔案，就跟蹤連結所指的檔案

-cpio %; #查位于某一類型檔案系統中的檔案，這些檔案系統類型通常可在/etc/fstab中找到

-cpio #對比對的檔案使用cpio指令，将他們備份到錄音帶裝置中

-prune #忽略某個目錄

=====================================================

$find ~ -name "*.txt" -print #在$HOME中查.txt檔案并顯示

$find . -name "*.txt" -print

$find . -name "[A-Z]*" -print #查以大寫字母開頭的檔案

$find /etc -name "host*" -print #查以host開頭的檔案

$find . -name "[a-z][a-z][0–9][0–9].txt" -print #查以兩個小寫字母和兩個數字開頭的txt檔案

$find . -perm 755 -print

$find . -perm -007 -exec ls -l {} \; #查所有使用者都可讀寫執行的檔案同-perm 777

$find . -type d -print

$find . ! -type d -print

$find . -type l -print

$find . -size +1000000c -print #查長度大于1Mb的檔案

$find . -size 100c -print # 查長度為100c的檔案

$find . -size +10 -print #查長度超過期廢棄10塊的檔案（1塊=512位元組）

$cd /

$find etc home apps -depth -print | cpio -ivcdC65536 -o /dev/rmt0

$find /etc -name "passwd*" -exec grep "cnscn" {} \; #看是否存在cnscn使用者

$find . -name "yao*" | xargs file

$find . -name "yao*" | xargs echo "" > /tmp/core.log

$find . -name "yao*" | xargs chmod o-w

======================================================

find -name april* 在目前目錄下查找以april開始的檔案

find -name april* fprint file 在目前目錄下查找以april開始的檔案，并把結果輸出到file中

find -name ap* -o -name may* 查找以ap或may開頭的檔案

find /mnt -name tom.txt -ftype vfat 在/mnt下查找名稱為tom.txt且檔案系統類型為vfat的檔案

find /mnt -name t.txt ! -ftype vfat 在/mnt下查找名稱為tom.txt且檔案系統類型不為vfat的檔案

find /tmp -name wa* -type l 在/tmp下查找名為wa開頭且類型為符号連結的檔案

find /home -mtime -2 在/home下查最近兩天内改動過的檔案

find /home -atime -1 查1天之内被存取過的檔案

find /home -mmin +60 在/home下查60分鐘前改動過的檔案

find /home -amin +30 查最近30分鐘前被存取過的檔案

find /home -newer tmp.txt 在/home下查更新時間比tmp.txt近的檔案或目錄

find /home -anewer tmp.txt 在/home下查存取時間比tmp.txt近的檔案或目錄

find /home -used -2 列出檔案或目錄被改動過之後，在2日内被存取過的檔案或目錄

find /home -user cnscn 列出/home目錄内屬于使用者cnscn的檔案或目錄

find /home -uid +501 列出/home目錄内使用者的識别碼大于501的檔案或目錄

find /home -group cnscn 列出/home内組為cnscn的檔案或目錄

find /home -gid 501 列出/home内組id為501的檔案或目錄

find /home -nouser 列出/home内不屬于本地使用者的檔案或目錄

find /home -nogroup 列出/home内不屬于本地組的檔案或目錄

find /home -name tmp.txt -maxdepth 4 列出/home内的tmp.txt 查時深度最多為3層

find /home -name tmp.txt -mindepth 3 從第2層開始查

find /home -empty 查找大小為0的檔案或空目錄

find /home -size +512k 查大于512k的檔案

find /home -size -512k 查小于512k的檔案

find /home -links +2 查硬連接配接數大于2的檔案或目錄

find /home -perm 0700 查權限為700的檔案或目錄

find /tmp -name tmp.txt -exec cat {} \;

find /tmp -name tmp.txt -ok rm {} \;

find / -amin -10 # 查找在系統中最後10分鐘通路的檔案

find / -atime -2 # 查找在系統中最後48小時通路的檔案

find / -empty # 查找在系統中為空的檔案或者檔案夾

find / -group cat # 查找在系統中屬于 groupcat的檔案

find / -mmin -5 # 查找在系統中最後5分鐘裡修改過的檔案

find / -mtime -1 #查找在系統中最後24小時裡修改過的檔案

find / -nouser #查找在系統中屬于廢棄使用者的檔案

find / -user fred #查找在系統中屬于FRED這個使用者的檔案

查目前目錄下的所有普通檔案

# find . -type f -exec ls -l {} \;

-rw-r–r– 1 root root 34928 2003-02-25 ./conf/httpd.conf

-rw-r–r– 1 root root 12959 2003-02-25 ./conf/magic

-rw-r–r– 1 root root 180 2003-02-25 ./conf.d/README

查目前目錄下的所有普通檔案，并在- e x e c選項中使用ls -l指令将它們列出

=================================================

在/ l o g s目錄中查找更改時間在5日以前的檔案并删除它們：

$ find logs -type f -mtime +5 -exec -ok rm {} \;

查詢當天修改過的檔案

[root@book class]# find ./ -mtime -1 -type f -exec ls -l {} \;

查詢檔案并詢問是否要顯示

[root@book class]# find ./ -mtime -1 -type f -ok ls -l {} \;

< ls … ./classDB.inc.php > ? y

-rw-r–r– 1 cnscn cnscn 13709 1月 12 12:22 ./classDB.inc.php

< ls … ./classDB.inc.php > ? n

[root@book class]#

查詢并交給awk去處理

[root@book class]# who | awk ’{print $1"\t"$2}’

cnscn pts/0

awk—grep—sed

[root@book class]# df -k | awk ‘{print $1}’ | grep -v ’none’ | sed s"/\/dev\///g"

檔案系統

sda2

sda1

[root@book class]# df -k | awk ‘{print $1}’ | grep -v ’none’

/dev/sda2

/dev/sda1

1)在/tmp中查找所有的*.h，并在這些檔案中查找“SYSCALL_VECTOR"，最後列印出所有包含"SYSCALL_VECTOR"的檔案名

A) find /tmp -name "*.h" | xargs -n50 grep SYSCALL_VECTOR

B) grep SYSCALL_VECTOR /tmp/*.h | cut -d’:' -f1| uniq > filename

C) find /tmp -name "*.h" -exec grep "SYSCALL_VECTOR" {} \; -print

2)find / -name filename -exec rm -rf {} \;

find / -name filename -ok rm -rf {} \;

3)比如要查找磁盤中大于3M的檔案：

find . -size +3000k -exec ls -ld {} ;

4)将find出來的東西拷到另一個地方

find *.c -exec cp ‘{}’ /tmp ‘;’

如果有特殊檔案，可以用cpio，也可以用這樣的文法：

find dir -name filename -print | cpio -pdv newdir

6)查找2004-11-30 16:36:37時更改過的檔案

# A=`find ./ -name "*php"` | ls -l –full-time $A 2>/dev/null | grep "2004-11-30 16:36:37"

Linux-all, Linux | No Comments »

四月 18th, 2006

　　要在/usr/linux中查找所有的*.h，并在這些檔案中查找“SYSCALL_VECTOR"，最後列印出所有包含"SYSCALL_VECTOR"的檔案名，有以下幾種方法實作

find /usr/linux -name "*.h" | xargs -n50 grep SYSCALL_VECTOR

grep SYSCALL_VECTOR /usr/linux/*.h | cut -d’:’ -f1 | uniq > filename

find /usr/linux -name "*.h" -exec grep "SYSCALL_VECTOR" {} \; -print

　　我用find / -name filename| rm -rf，不成功，請問為什麼不成功？

find / -name filename -exec rm -rf {} \;

find . -name filename |rm -rf試一下{} 表示你找出來的結果。

\; 則相當于“憲法”，沒什麼說頭，就是這麼規定的，在 -exec 後面需要一個表示該指令終結的的符号。可以在 man find 中找到答案。

要讓rm識别find的結果，如下：

find / -name filename |xargs rm -rf

之是以find . -name filename |rm -rf不通過，是因為rm指令不接受從标準輸入傳過來的指令

查找含特定字元串的檔案

例如查找目前目錄下含有"the string you want find…"字元串的檔案：

$find . -type f -exec grep “the string you want find…” {} ; -print

　　從根目錄開始查tmpfile，一旦查到馬上删除

find / -name "tmpfile" -exec rm {} \;

　　find 的perm問題

請問一下以下指令什麼意思？關鍵是那個數字前的-，其他都還知道

find -name ".*" -perm -007

我知道

find -name ".*" -perm 755

這個是用來查找權限位為755的隐藏檔案

噢，對了還有，我上邊的指令都省略了find的pathname參數 find預設是查找目前工作目錄的嗎？

如果我用 -ok 替代 -exec, 那麼還需要加上 {} \; 嗎？

這個已經清楚，仍然需要，因為 -ok 隻是 -exec 的提示模式，它隻是多了一個确認操作的步驟,剛才沒有讀懂那幾句E文的意思呵呵不好意思

-007是指查找所有使用者都可讀、寫、執行的檔案，要小心呀~~~

解釋解釋？

find -name ".*" -perm -007 和 find -name ".*" -perm 777 有差別嗎？

-007是怎麼來得呢？

不過有一個問題

我用 find . -perm -100 會列出目前目錄 . , 這是為什麼呢？

下面引用由explover在 2002/10/01 06:15am 發表的内容：

-007是查找含其它使用者(不同組,非屬主)可讀,寫,執行的檔案.并不一定要同組可讀寫,-是指最少權限為007.

下面引用由一顆白菜在 2002/10/01 10:16am 發表的内容：

OK了，呵呵

這種方法不會準确的找出目錄的. -100是指權限至少是屬主可運作.

在unix系統下,你可以擁有對目錄檔案的執行權你才可以進入一個目錄.這便是目錄檔案被列出的原因.

find . -perm -001 -print找到往往是目錄檔案.

我的意思當然不是使用這種方法來找目錄，隻不過不明白其中的 -100 意義了

那以此類推，是不是 -010是指權限至少是owner同組可執行的嗎？也就是說其實這裡的010和-是分開的，-表示一個至少的意思，而且010才是真正用來描述權限位的？

這樣子就明白了謝謝你噢

　　将find出來的東西拷到另一個地方?

　　找出磁盤中某個大小範圍内的檔案

比如要查找磁盤中大于3M的檔案：

　　如何用find查找某一天更改的檔案？

可以使用這一行指令來實作：

A=`find ~ -print` | ls -l –full-time $A 2>/dev/null | grep "Jun 27" | grep 1998

　　使用find 指令查找某個時間段的shell怎麼寫。比如11點到12點的。thanks

建立一個腳本judgetime，内容如下：

ls -l $*|awk ‘{split($8,hour,":");if((hour[1]>23 || hour[1] < 1)&&hour[1]<24)print}’

到要查找的目錄下，運作

find ./ -name "*" -exec judgetime {} \;

注意時間格式為２４小時制。

thank you ，如果我要精确到分鐘呢

touch -t 04241112 starttemp #精确到12分鐘

touch -t 04241220 endtemp #截止到12點20

find [dir] -newer starttemp -a ! -newer endtemp -exec ls -l {} \;

ｎｅｗｅｒ？

那昨天１２：１０檔案如何呢？

每天執行的時候，用當天的日期和時間戳替換一下不就行了嗎？

我不知道他是不是把所有的11：00~12：00的都找出來，是不是隻執行一次還是每天都執行？

這種情況俺猜想是自己的東西放在哪忘了，隻記得當時是深夜了。

有道理！

不愧是斑竹！

不光知道怎麼解決問題，還知道在什麼情況下出現這類問題，佩服佩服！

問題又出現了。建立這個檔案的時候。本來應該是時間的一欄現在寫上了2002，而不是12：00.

等到12：00過了吧！

　　删除指定日期的檔案

find ./ -name 檔案名 -exec rm -f {} \;

例：删除目前30天内沒用過的檔案,用如下指令：

find / -atime +30 -exec rm -f {} \;

我自己試着寫了一小段SHELL,也用ll ,grep, rm 幾個指令，用起來還差強人意。

對過濾出來的檔案名清單中用了一個FOR語句，再執行rm 。現在我想把這段SHELL 擴充一下讓它每天定時運作将 n 天前的檔案删掉，有沒有人能給我一些提示，謝謝！

還有個問題，對于前面那位朋友提到的"find / -atime +30 -exec rm -f {} \;

"方法，我很早就試過幾次，不過好像都不太對，參數 -atime n 是查找n天前被通路過的檔案，我不明白的是這裡的時間參照點是什麼，以及這個n天是怎麼計算的。

問題二、對于"ll |cut -f 1" 這個指令我是不是用錯了，我隻想取出 ll 中列出的檔案名，但用cut -f 指令做不到，我隻好換用 ll |cut -c 59- 這種方式得到我要的檔案名，but it’s a pool idear ！我也試過用awk ，好像也不對，看看大家可不可以給我一些小小的提醒，TKS SO MUCH

問題三、如何改變 I結點的日期格式我現在的系統顯示的格式是：

-rw-r—– 1 msahz01 users 2253 2002年2月 2日 poheader.i

我想把這換成

-rw-rw-rw- 1 house users 2193 Apr 19 2001 hkdisp.p

如何才能做到這點？

awk 應該可以

ll | awk ‘{print $9}’

删除多少天之前的檔案

find /yourpath -mtime +31 -exec rm {} \;

find /yourpath -mtime +366 -exec rm {} \;

find中, -ctime, -mtime及其-atime有何差別

請問 -ctime 和 -mtime 有什麼關系 ?

如果父目錄的 ctime 改變, 那它下面的檔案的 ctime 就會自動都改了嗎 ?

-ctime 和 -mtime ,-atime 這些資訊是存在哪兒呢 ?

我用 -mtime -1 找到了建立或改的檔案.

但怎樣才能找到一天内 mv 來的檔案呢( 它們的時間是原有的時間,早于一天 ) ?

用-newer選項啊。

你可以先touch一個你想要的時間的檔案如下：

$ touch -t 08190800 test

$ ls -l test

-rw-r–r– 1 dba other 0 Aug 19 08:00 test

然後

$ find . -newer test -print

./.sh_history

$ ls -l .sh_history

-rw——- 1 dba other 154 Aug 20 17:39 .sh_history

用touch可以寫出你想要的任何時間的檔案，然後用-newer ,! -newer選項即可成功。

1.ctime含inode資訊修改的時間.mtime隻指檔案内容建立或修改的時間.

2 不會.

3.這些資訊應該是存在檔案系統的超級塊裡.

我查了書 -ctime 是指 inode 的改變(或稱檔案的狀态改變).

請問 inode 存了哪些資訊 ?

做了些小測試,-mtime 改, -ctime 一定也改.

改檔案名, -ctime 也會改.

誰能回答 i-node 存了哪些東西 ?

vi /usr/include/sys/inode.h

班主,我不能 access /usr/include/sys/inode.h .

摘書如下:

Directories contain directory entries. Each entry contains a file or subdirectory name and an index node reference number (i-node number). To increase speed and enhance use of disk space, the data in a file is stored at various locations in the computer’s memory. The i-node contains the addresses used to locate all the scattered blocks of data associated with a file. The i-node also records other information about the file including time of modification and access, access modes, number of links, file owner, and file type.

可我發現 -atime 改了, -ctime 還沒改. why ?

( 我先 cat 一個 ASCII 檔案,再用 -atime -1 有它用 -ctime -1 居然沒有它.)

着豈不跟 inode 資訊改變, ctime 就改沖突嗎?

我不同意你貼出來的那段文章,正如我提到的那樣,atime,ctime,mtime是放到超級塊裡,在sco unix下是一種叫stat的結構.(stat_32),不同的系統檔案系統可能不同.

sco 下inode的結構如下:

typedef struct inode

{

struct inode *i_forw; /* inode hash chain */

struct inode *i_back; /* ‘’ */

struct inode *av_forw; /* freelist chain */

struct inode *av_back; /* ‘’ */

int *i_fsptr; /* "typeless" pointer to fs dependent */

ino32_t i_number; /* i number, 1-to-1 with dev address */

ushort i_ftype; /* file type = IFDIR, IFREG, etc. */

short i_fstyp; /* File system type */

off_t i_size; /* size of file */

ushort i_uid; /* owner */

ushort i_gid; /* group of owner */

ushort i_flag;

ushort i_want; /* i_flag extension to avoid MP races */

ushort i_count; /* reference count */

short i_nlink; /* directory entries */

dev_t i_rdev; /* Raw device number */

#define i_namtype i_rdev /* i_ftype==IFNAM subtype */

dev_t i_dev; /* device where inode resides */

struct mount *i_mton;/* ptr to mount table entry that */

/* this directory is mounted on */

struct region *i_rp; /* ptr to shared region if any */

struct stdata *i_sp; /* ptr to associated stream */

struct iisem *isem; /* ptr to XENIX semaphores */

struct iisd *isd; /* ptr to XENIX shared data */

} i_un;

#define i_mnton i_un.i_mton /* i_ftype==IFDIR IMOUNT */

#define i_rptr i_un.i_rp /* i_ftype==IFREG || i_ftype==IFBLK */

#define i_sptr i_un.i_sp /* i_ftype==IFCHR || i_ftype==IFIFO */

#define i_sem i_un.isem /* i_ftype==IFNAM && i_namtype==IFSEM */

#define i_sd i_un.isd /* i_ftype==IFNAM && i_namtype==IFSHD */

struct fstypsw *i_fstypp; /* ptr to file system switch FSPTR */

long *i_filocks; /* pointer to filock (structure) list */

unsigned long i_mappages; /* number of pages currently cached */

unsigned long i_vcode; /* read-ahead block save (NFS) */

short i_wcnt; /* write open count or ITEXT count */

struct lockb i_cilock; /* tas to synchronize i_flag changes */

ushort i_rdlocks; /* count of non-exclusive lockers */

} inode_t;

是以,通路一個檔案不能改變inode資訊.

使用chown, chgrp, chmod指令可以很好的比較mtime和ctime

chown改變一個檔案的屬主,用ctime可以找到,用mtime便找不到.

試試看.

多謝斑竹! 我是在 Solaris 上面試的.我是對 -ctime 不明白.

試的結果如下:

修改檔案,-mtime 改了, -ctime 也會改.

通路檔案,-atime 改了, -ctime 沒變.

chown, chgrp, chmod,mv, 都會使 -ctime 改變,但不影響 -atime 和 -mtime.

touch 可以改 -mtime and/or -atime,但 touch -a 隻改通路時間時,-ctime也改了.

touch -m 改修改時間時,-ctime當然也改了.

好象還有别的很多東西可以令 -ctime 改變, 搞不清楚.

有什麼方法可以顯示 -mtime,atime,ctime 嗎?

可以用 -ctime 來實作對目錄的增量檔案進行備份或 transfer 嗎 ?

多謝!

沒有什麼工具顯示,(可能是俺不知道)

把下面程式裡的st_mtime換成st_ctime,或st_atime便可以得到你要的了.

#include

int

main (int argc, char **argv)

struct stat buf;

char date[80];

char fname[80];

printf("Enter filename (with full path) to check mtime : ");

scanf("%s",fname);

stat(fname, &buf);

printf ("mtime (in sec) of %s = %ld\n", fname, buf.st_mtime);

strcpy(date, ctime((time_t *)&(buf.st_mtime)));

printf ("mtime (in date) of %s = %s\n", fname, date);

}

至于檔案備份,有什麼不可以的麼?

mtime ls -l 最近修改檔案内容的時間

atime ls -lu 最近通路檔案的時間

ctime ls -li 最近檔案有所改變的狀态 ,如檔案修改,屬性\屬主改變 ,節點 ,連結變化等 ,應該是不拘泥隻是時間前後的改變

俺看了ls的幫助,以為隻是按ctime或atime排序,顯示的時間還是mtime.

仔細比較了一下,ayhan說的是對的.謝謝ayhan.

多謝 ahyan 提示 ! 我在 Solaris 上試過如下:

mtime 用 ls -l 看到

atime 用 ls -lu 看到

ctime 用 ls -lc 看到. (ls -li 隻有 inode number)

-c Uses time of last modification of the i-node (file

created, mode changed, and so forth) for sorting (-t)

or printing (-l or -n).

-u Uses time of last access instead of last modification

for sorting (with the -t option) or printing (with the

-l option).

-i For each file, prints the i-node number in the first

column of the report.