<b>一、find</b>
<b>1</b><b>、find簡單介紹</b>
有時可能需要在系統中查找具有某一特征的檔案(例如檔案權限、檔案屬主、檔案長度、檔案類型等等)。這樣做可能有很多原因。可能出于安全性的考慮,或是一般性的系統管理任務,或許隻是為了找出一個不知儲存在什麼地方的檔案。Find是一個非常有效的工具,它可以周遊目前目錄甚至于整個檔案系統來查找某些檔案或目錄。
<b>2</b><b>、find文法介紹</b>
Find指令的一般形式為:
find pathname -options [-print -exec -ok]
find 查找路徑 參數
pathname 指令所查找的目錄路徑。例如用.來表示目前目錄,用/來表示系統根目錄。
-print find指令将比對的檔案輸出到标準輸出。
-exec find指令對比對的檔案執行該參數所給出的shell指令。相應指令的形式為'comm-
and'{}\;,注意{}和\;之間的空格。
-ok 和-exec的作用相同,隻不過以一種更為安全的模式來執行該參數所給出的shell命
令,在執行每一個指令之前,都會給出提示,讓使用者來确定是否執行。
由于find具有如此強大的功能,是以它的選項也很多,其中大部分選項都值得我們花時間來了解一下。即使系統中含有網絡檔案系統(NFS),find指令在該檔案系統中同樣有效,隻要你具有相應的權限。
在運作一個非常消耗資源的find指令時,很多人都傾向于把它放在背景執行,因為周遊一個大的檔案系統可能會花費很長的時間(這裡是指30G位元組以上的檔案系統)。
<b>3</b><b>、find指令選項 </b>
find指令有很多選項或表達式,每一個選項前面跟随一個橫杠-。讓我們先來看一下該指令的主要選項:
-name 按照檔案名查找檔案。
-perm 按照檔案權限來查找檔案。
-prune 使用這一選項可以使find指令不在目前指定的目錄中查找,如果同時使用了-depth選
項,那麼-prune選項将被find指令忽略。
-user 按照檔案屬主來查找檔案。
-group 按照檔案所屬的組來查找檔案。
-gid n查找系統中檔案數字組 ID 為 n的檔案
-mtime -n+n 按照檔案的更改時間來查找檔案,-n表示檔案更改時間距現在n天以内,
+n 表示檔案更改時間距現在n天以前。Find指令還有-atime和-ctime選項,-ctime:
指定時間檔案權限被修改過 -atime: 指定時間檔案被讀取過。它們都 和-mtime選
項相似,是以我們在這裡隻介紹-mtime選項。 精确到分鐘的 amin,mmin,cmin
-nogroup 查找無有效所屬組的檔案,即該檔案所屬的組在/etc/groups中不存在。
-nouser 查找無有效屬主的檔案,即該檔案的屬主在/etc/passwd中不存在。
-newer file1! file2 查找更改時間比檔案file1新但比檔案file2舊的檔案。
-type 查找某一類型的檔案,諸如:
b-塊裝置檔案。
d-目錄。
c-字元裝置檔案。
p-管道檔案。
l-符号連結檔案。
f-普通檔案。
-size n[c] 查找檔案長度為n塊的檔案,帶有c時表示檔案長度以位元組計,+表示大于某個
數,-表示小于某個數。c表示機關是位元組,你可以将c換成k,M,G。
-depth 在查找檔案時,<b>首先查找目前目錄中的檔案,然後再在其子目錄中查找</b>。
-fstype 查找位于某一類型檔案系統如ext3中的檔案,這些檔案系統類型通常可以在配
置檔案/etc/fstab中找到,該配置檔案中包含了本系統中有關檔案系統的資訊。
-daystart . .測試系統從今天開始24小時以内的檔案,用法類似-amin
-maxdepth N 在某個層次的目錄中按照遞減方法查找,作用就是限制find指令在目錄中按
照遞減方查找檔案的時候搜尋檔案超過某個級别或者搜尋過多的目錄,這樣導
緻查找速度變慢,查找花費的時間過多。
-mount 在查找檔案時不跨越檔案系統mount點。
-follow 如果find指令遇到符号連結檔案,就跟蹤至連結所指向的檔案。
-cpio 對比對的檔案使用cpio指令,将這些檔案備份到錄音帶裝置中。
-false查找系統中總是錯誤的檔案
-noleaf 禁止在非UNUX檔案系統,MS-DOS系統,CD-ROM檔案系統中進行最優化查找
<b>4</b><b>、應用舉例</b>
使用name選項:
檔案名選項是find指令最常用的選項,要麼單獨使用該選項,要麼和其他選項一起使用。可以使用某種檔案名模式來比對檔案,記住要用引号将檔案名模式引起來。
不管目前路徑是什麼,如果想要在自己的根目錄$HOME中查找檔案名符合*.txt的檔案,使用~作為'pathname參數,波浪号~代表了你的$HOME目錄。
<b>$ find ~ -name "*.txt" -print</b>
想要在目前目錄及子目錄中查找所有的‘*.txt’檔案,可以用:
<b>$ find . -name "*.txt" -print</b>
想要的目前目錄及子目錄中查找檔案名以一個大寫字母開頭的檔案,可以用:
<b>$ find . -name "[A-Z]*" -print</b>
想要在/etc目錄中查找檔案名以host開頭的檔案,可以用:
<b>$ find /etc -name "host*" -print</b>
想要查找$HOME目錄中的檔案,可以用:
<b>$ find~-name"*"-pri</b>或<b>ntfind.-print</b>
要想讓系統高負荷運作,就從根目錄開始查找所有的檔案。如果希望在系統管理者那裡保留一個好印象的話,最好在這麼做之前考慮清楚!
<b>$ find / -name "*" -print</b>
如果想在目前目錄查找檔案名以兩個小寫字母開頭,跟着是兩個數字,最後是*.txt的檔案,下面的指令就能夠傳回名為ax37.txt的檔案:
<b>$ find . -name "[a-z][a-z][0--9][0--9].txt" -print</b>
使用perm選項
如果希望按照檔案權限模式來查找檔案的話,可以采用-perm選項。你可能需要找到所有使用者都具有執行權限的檔案,或是希望檢視某個使用者目錄下的檔案權限類型。在使用這一選項的時候,最好使用八進制的權限表示法。
為了在目前目錄下查找檔案權限位為755的檔案,即檔案屬主可以讀、寫、執行,其他使用者可以讀、執行的檔案,可以用:
<b>$ find . -perm 755 -print</b>
如果希望在目前目錄下查找所有使用者都可讀、寫、執行的檔案(要小心這種情況),我們可以使用find指令的-perm選項。在八進制數字前面要加一個橫杠-。在下面的指令中-perm代表按照檔案權限查找,而‘007’和你在chmod指令的絕對模式中所采用的表示法完全相同。
<b>$ find . -perm -007 -print</b>
用-prune選項忽略某個目錄
如果在查找檔案時希望忽略某個目錄,因為你知道那個目錄中沒有你所要查找的檔案,那麼可以使用-prune選項來指出需要忽略的目錄。在使用-prune選項時要當心,因為如果你同時使用了-depth選項,那麼-prune選項就會被find指令忽略。
如果希望在/apps目錄下查找檔案,但希望忽略/apps/bin目錄,可以用:
<b>$ find /apps -name "/apps/bin" -prune -o -print</b>
使用user和nouser選項
如果希望按照檔案屬主查找檔案,可以給出相應的使用者名。例如,在$HOME目錄中查找檔案屬主為dave的檔案,可以用:
<b>$ find ~ -user dave -print</b>
在/etc目錄下查找檔案屬主為uucp的檔案:
<b>$ find /etc -user uucp -print</b>
為了查找屬主帳戶已經被删除的檔案,可以使用-nouser選項。這樣就能夠找到那些屬主在/etc/passwd檔案中沒有有效帳戶的檔案。在使用-nouser選項時,不必給出使用者名;find指令能夠為你完成相應的工作。例如,希望在/home目錄下查找所有的這類檔案,可以用:
<b>$ find /home -nouser -print</b>
使用group和nogroup選項
就像user和nouser選項一樣,針對檔案所屬于的使用者組,find指令也具有同樣的選項,為了在/apps目錄下查找屬于accts使用者組的檔案,可以用:
<b>$ find /apps</b><b> -group accts -print</b>
要查找沒有有效所屬使用者組的所有檔案,可以使用nogroup選項。下面的find指令從檔案系統的根目錄處查找這樣的檔案
<b>$ find / -nogroup -print</b>
按照更改時間查找檔案
如果希望按照更改時間來查找檔案,可以使用mtime選項。如果系統突然沒有可用空間了,很有可能某一個檔案的長度在此期間迅速增長,這時就可以用mtime選項來查找這樣的檔案。用減号-來限定更改時間在距今n日以内的檔案,而用加号+來限定更改時間在距今n日以前的檔案。
希望在系統根目錄下查找更改時間在5日以内的檔案,可以用:
<b>$ find/-mtime</b><b>-5</b><b>-print</b>
為了在/var/adm目錄下查找更改時間在3日以前的檔案,可以用:
<b>$ find /var/adm -mtime +3 -print</b>
查找比某個檔案新或舊的檔案
如果希望查找更改時間比某個檔案新但比另一個檔案舊的所有檔案,可以使用-newer選項。它的一般形式為:
<b>newest_file_name ! oldest_file_name</b>
其中,!是邏輯非符号。
這裡有兩個檔案,它們的更改時間大約相差兩天。
<b>-rwxr-x-r-x 1 root root 92 Apr 18 11:18 age.awk</b>
<b>-rwxrwxr-x 1 root root 1045 Apr 20 19:37 belts.awk</b>
下面給出的find指令能夠查找更改時間比檔案age.awk新但比檔案belts.awk舊的檔案:
<b>$ find . -newer age.awk ! -newer belts.awk -exec ls -l {} \;</b>
<b>-rwxrwxr-x 1 root root 62 Apr 18 11:32 ./who.awk</b>
<b>-rwxr-xr-x 1 root root 49 Apr 18 12:05 ./group.awk</b>
<b>-rw-r--r-- 1 root root 201 Apr 20 19:30 ./grade2.txt</b>
<b>-rwxrwxr-x 1 root root 1054 Apr 20 19:37 ./belts.awk</b>
如果想使用find指令的這一選項來查找更改時間在兩個小時以内的檔案,除非有一個現成的檔案其更改時間恰好在兩個小時以前,否則就沒有可用來比較更改時間的檔案。為了解決這一問題,可以首先建立一個檔案并将其日期和時間戳設定為所需要的時間。這可以用touch指令來實作。
假設現在的時間是23:40,希望查找更改時間在兩個小時以内的檔案,可以首先建立這樣一個檔案:
<b>$ touch -t 05042140 dstamp</b>
<b>-rw-r--r-- 1 dave admin 0 May 4 21:40 dstamp</b>
一個符合要求的檔案已經被建立;這裡我們假設今天是五月四日,而該檔案的更改時間是21:40,比現在剛好早兩個小時。
現在我們就可以使用find指令的-newer選項在目前目錄下查找所有更改時間在兩個小時以内的檔案:
<b>$find . -newer dstamp -print</b>
使用type選項
UNIX或LINUX系統中有若幹種不同的檔案類型,這部分内容我們在前面的章節已經做了介紹,這裡就不再贅述。如果要在/etc目錄下查找所有的目錄,可以用:
<b>$find /etc -type d -print</b>
為了在目前目錄下查找除目錄以外的所有類型的檔案,可以用:
<b>$find . ! -type d -print</b>
為了在/etc目錄下查找所有的符号連結檔案,可以用:
<b>$find /etc -type l -print</b>
使用size選項
可以按照檔案長度來查找檔案,這裡所指的檔案長度<b>既可以用塊(block)來計量,也可以用位元組來計量</b>。以位元組計量檔案長度的表達形式為Nc;以塊計量檔案長度隻用數字表示即可。
就我個人而言,我總是使用以位元組計的方式,在按照檔案長度查找檔案時,大多數人都喜歡使用這種以位元組表示的檔案長度,而不用塊的數目來表示,除非是在檢視檔案系統的大
小,因為這時使用塊來計量更容易轉換。
為了在目前目錄下查找檔案長度大于1M位元組的檔案,可以用:
<b>$find . -size +1000000c -print</b>
為了在/home/apache目錄下查找檔案長度恰好為100位元組的檔案,可以用:
<b>$find /home /apache -size 100c -print</b>
為了在目前目錄下查找長度超過10塊的檔案(一塊等于512位元組),可以用:
<b>$find . -size +10 -print</b>
<b> find / -empty</b> # 查找在系統中為空的檔案或者檔案夾
使用depth選項
在使用find指令時,可能希望先比對所有的檔案,再在子目錄中查找。使用depth選項就可以使find指令這樣做。這樣做的一個原因就是,當在使用find指令向錄音帶上備份檔案系統時,希望首先備份所有的檔案,其次再備份子目錄中的檔案。
在下面的例子中,find指令從檔案系統的根目錄開始,查找一個名為CON.FILE的檔案。它将首先比對所有的檔案然後再進入子目錄中查找。
<b>$find / -name "CON.FILE" -depth -print</b>
<b> </b>
使用mount選項
在目前的檔案系統中查找檔案(不進入其他檔案系統),可以使用find指令的mount選項。在下面的例子中,我們從目前目錄開始查找位于本檔案系統中檔案名以XC結尾的檔案:
<b>$find . -name "*.XC" -mount -print</b>
使用cpio選項
cpio指令可以用來向錄音帶裝置備份檔案或從中恢複檔案。可以使用find指令在整個檔案系統中(更多的情況下是在部分檔案系統中)查找檔案,然後用cpio指令将其備份到錄音帶上。
如果希望使用cpio指令備份/etc、/home和/apps目錄中的檔案,可以使用下面所給出的指令,不過要記住你是在檔案系統的根目錄下:
<b>$ cd /</b>
<b>$ find etc home apps -depth -print | cpio -ivcdC65536 -o /dev/rmt0</b>
在上面的例子中,應當注意到路徑中缺少/。這叫作相對路徑。之是以使用相對路徑,是因為在從錄音帶中恢複這些檔案的時候,可以選擇恢複檔案的路徑。例如,可以将這些檔案先恢複到另外一個目錄中,對它們進行某些操作後,再恢複到原始目錄中。如果在備份時使用了絕對路徑,例如/etc,那麼在恢複時,就隻能恢複到/etc目錄中去,别無其他選擇。在上面的例子中,我告訴find指令首先進入/etc目錄,然後是/home和/apps目錄,先比對這些目錄下的檔案,然後再比對其子目錄中的檔案,所有這些結果将通過管道傳遞給cpio指令進行備份。
順便說一下,在上面的例子中cpio指令使用了C65536選項,我本可以使用B選項,不過這樣每塊的大小隻有512位元組,而使用了C65536選項後,塊的大小變成了64K位元組(65536/1024)。
<b>使用exec或ok來執行shell指令 </b>
當比對到一些檔案以後,可能希望對其進行某些操作,這時就可以使用-exec選項。一旦find指令比對到了相應的檔案,就可以用-exec選項中的指令對其進行操作(在有些作業系統中隻允許-exec選項執行諸如ls或ls-l這樣的指令)。大多數使用者使用這一選項是為了查找舊檔案并删除它們。這裡我強烈地建議你在真正執行rm指令删除檔案之前,最好先用ls指令看一下,确認它們是所要删除的檔案。
exec選項後面跟随着所要執行的指令,然後是一對兒{},一個空格和一個\,最後是一個分号。
為了使用exec選項,必須要同時使用print選項。如果驗證一下find指令,會發現該指令隻輸出從目前路徑起的相對路徑及檔案名。
為了用ls-l指令列出所比對到的檔案,可以把ls-l指令放在find指令的-exec選項中,例如:
<b>$ find . -type f -exec ls-l {} \;</b>
<b>-rwxr-xr-x 10 root wheel 1222 Jan 4 1993 ./sbin/C80</b>
<b>-rwxr-xr-x 10 root wheel 1222 Jan 4 1993 ./sbin/Normal</b>
<b>-rwxr-xr-x 10 root wheel 1222 Jan 4 1993 ./sbin/Revvid</b>
上面的例子中,find指令比對到了目前目錄下的所有普通檔案,并在-exec選項中使用ls-l指令将它們列出。
為了在/logs目錄中查找更改時間在5日以前的檔案并删除它們,可以用:
<b>$ find logs -type f -mtime +5 -exec rm {} \;</b>
記住,在shell中用任何方式删除檔案之前,應當先檢視相應的檔案,一定要小心!
當使用諸如mv或rm指令時,可以使用-exec選項的安全模式。它将在對每個比對到的檔案進行操作之前提示你。在下面的例子中,find指令在目前目錄中查找所有檔案名以.LOG結尾、更改時間在5日以上的檔案,并删除它們,隻不過在删除之前先給出提示。
<b>$ find . -name </b><b>“*.LOG” -mtime +5 -ok rm {} \;</b>
<b><rm </b><b>… ./nets.LOG> ?y</b>
按y鍵删除檔案,按n鍵不删除。
任何形式的指令都可以在-exec選項中使用。在下面的例子中我們使用grep指令。find指令首先比對所有檔案名為“passwd*”的檔案,例如passwd、passwd.old、passwd.bak,然後執行grep指令看看在這些檔案中是否存在一個rounder使用者。
<b>$ find /etc -name </b><b>“passwd*” -exec grep “rounder” {} \;</b>
<b>rounder:JL9TtUqk8EHwc:500:500::/home/apps/nets/rounder:/bin/sh</b>
<b>find</b><b>指令的例子</b>
查找系統中所有檔案長度為0的普通檔案,并列出它們的完整路徑,可以用:
<b>$ find / -type f -size 0 -exec ls-l {} \;</b>
查找/var/logs目錄中更改時間在7日以前的普通檔案,并删除它們,可以用:
<b>$ find /var/logs -type f -mtime +7 -exec rm {} \;</b>
查找系統中所有屬于audit組的檔案,可以用:
<b>$ find / -name -group audit -print</b>
我們的一個審計系統每天建立一個審計日志檔案。日志檔案名的最後含有數字,這樣我們一眼就可以看出哪個檔案是最新的,哪個是最舊的。Admin.log檔案編上了序号:admin.log.001、admin.log.002等等。下面的find指令将删除/logs目錄中通路時間在7日以前、含有數字字尾的admin.log檔案。該指令隻檢查三位數字,是以相應日志檔案的字尾不要超過999。
<b>$ find / logs -name 'admin.log[0-9][0-9]' [-0a-t9i]me +7 -exec rm {} \;</b>
查找目前檔案系統中的所有目錄并排序,可以用:
<b>$ find . -type d -print -local -mount | sort</b>
查找系統中所有的rmt錄音帶裝置,可以用:
<b>$ find /dev/rmt -print</b>
<b> </b><b>二、xargs</b>
xargs - build and execute command lines from standard input
在使用find指令的-exec選項處理比對到的檔案時, find指令将所有比對到的檔案一起傳遞給exec執行。但有些系統對能夠傳遞給exec的指令長度有限制,這樣在find指令運作幾分鐘之後,就會出現溢出錯誤。錯誤資訊通常是“參數列太長”或“參數列溢出”。這就是xargs指令的用處所在,特别是與find指令一起使用。
find指令把比對到的檔案傳遞給xargs指令,而xargs指令每次隻擷取一部分檔案而不是全部,不像-exec選項那樣。這樣它可以先處理最先擷取的一部分檔案,然後是下一批,并如此繼續下去。
在有些系統中,使用-exec選項會為處理每一個比對到的檔案而發起一個相應的程序,并非将比對到的檔案全部作為參數一次執行;這樣在有些情況下就會出現程序過多,系統性能下降的問題,因而效率不高;
而使用xargs指令則隻有一個程序。另外,在使用xargs指令時,究竟是一次擷取所有的參數,還是分批取得參數,以及每一次擷取參數的數目都會根據該指令的選項及系統核心中相應的可調參數來确定。
讓我們來看看xargs指令是如何同find指令一起使用的,并給出一些例子。
下面的例子查找系統中的每一個普通檔案,然後使用xargs指令來測試它們分别屬于哪類檔案:
<b>$ find / -type f -print | xargs file</b>
<b>/etc/protocols: Enghlish text</b>
<b>/etc/securetty: ASCII test</b>
<b>…</b>
下面的例子在整個系統中查找記憶體資訊轉儲檔案(coredump),然後把結果儲存到/tmp/core.log檔案中:
<b>$ find . -name "core" -print | xargs echo "" >/tmp/core.log</b>
下面的例子在/apps/audit目錄下查找所有使用者具有讀、寫和執行權限的檔案,并收回相應的寫權限:
<b>$ find /apps/audit -perm -7 -print | xargs chmod o -w</b>
在下面的例子中,我們用grep指令在所有的普通檔案中搜尋device這個詞:
<b>$ find / -type f -print | xargs grep "device"</b>
在下面的例子中,我們用grep指令在目前目錄下的所有普通檔案中搜尋DBO這個詞:
<b>$ find . -name</b><b> </b><b>\*</b><b> -type f -print | xargs grep "DBO"</b>
注意,在上面的例子中,\用來取消find指令中的*在shell中的特殊含義。
![Ifyoufindapathwithnoobstacles,itprobablydoesn'tleadanywhere.[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)