Linux管理員須知:find命令詳解
概述
有時(shí)可能需要在系統(tǒng)中查找具有某一特征的文件(例如文件權(quán)限、文件屬主、文件長度、文件類型等等)。這樣做可能有很多原因。可能出于安全性的考慮,或是一般性的系統(tǒng)管理任務(wù),或許只是為了找出一個(gè)不知保存在什么地方的文件。find一個(gè)非常有效的工具,它可以遍歷當(dāng)前目錄甚至于整個(gè)文件系統(tǒng)來查找某些文件或目錄。
由于find具有如此強(qiáng)大的功能,所以它的選項(xiàng)也很多,其中大部分選項(xiàng)都值得我們花時(shí)間來了解一下。即使系統(tǒng)中含有網(wǎng)絡(luò)文件系統(tǒng)(NFS),find命令在該文件系統(tǒng)中同樣有效,只要你具有相應(yīng)的權(quán)限。
在運(yùn)行一個(gè)非常消耗資源的find命令時(shí),很多人都傾向于把它放在后臺(tái)執(zhí)行,因?yàn)楸闅v一個(gè)大的文件系統(tǒng)可能會(huì)花費(fèi)很長的時(shí)間(這里是指30G字節(jié)以上的文件系統(tǒng))。
find命令的使用
find pathname -options [-print -exec -ok]
find命令的一般格式為:
find [-H] [-L] [-P] [path...] [expression]
其中,'-H' '-L' '-P'三個(gè)選項(xiàng)主要是用來處理符號(hào)連接,'-H'表示只跟隨命令行中指定的符號(hào)連接,'-L'表示跟隨所有的符號(hào)連接,'-P'是默認(rèn)的選項(xiàng),表示不跟隨符號(hào)連接。
例如,在我的當(dāng)前目錄下有一個(gè)符號(hào)連接e1000,現(xiàn)在我想查找文件名中最后一個(gè)字母是數(shù)字的源文件,那么
$ find -H . -name "*[0-9].c" -print ./2234.c
像上面這樣寫只能查找出當(dāng)前目錄下符合要求的文件,卻找不出e1000下的文件。因此可以這么寫:
$ find -H e1000 . -name "*[0-9].c" -print
或者使用 '-L'選項(xiàng):
$ find -L . -name "*[0-9].c" -print
格式中的[path...]部分表示以此目錄為根目錄進(jìn)行搜索。
格式中的[expression]是一個(gè)表達(dá)式。最基本的表達(dá)式分為三類:設(shè)置項(xiàng)(option)、測(cè)試項(xiàng)(test)、動(dòng)作項(xiàng)(action),這三類又可以通過邏輯運(yùn)算符(operator)組合在一起形成更大更復(fù)雜的表達(dá)式。設(shè)置項(xiàng)(如-depth,-maxdepth等)針對(duì)這次查找任務(wù),而不是僅僅針對(duì)某一個(gè)文件,設(shè)置項(xiàng)總是返回true;測(cè)試項(xiàng)(test)則不同,它針對(duì)具體的一個(gè)文件進(jìn)行匹配測(cè)試,如-name,-num,-user等,返回true或者false;動(dòng)作項(xiàng)(action)則是對(duì)某一個(gè)文件進(jìn)行某種動(dòng)作(最常見的如-print),返回true或者false。
正是[expression]部分的豐富,才使得find如此強(qiáng)大。此部分較復(fù)雜,后面慢慢說明。
find命令選項(xiàng)
find命令有很多選項(xiàng)或表達(dá)式,每一個(gè)選項(xiàng)前面跟隨一個(gè)橫杠-。讓我們先來看一下該命令的主要選項(xiàng),然后再給出一些例子。
-name 按照文件名查找文件。
-perm 按照文件權(quán)限來查找文件。
-prune 使用這一選項(xiàng)可以使f i n d命令不在當(dāng)前指定的目錄中查找,如果同時(shí)使用了-depth選項(xiàng),那么-prune選項(xiàng)將被find命令忽略。
-user 按照文件屬主來查找文件。
-group 按照文件所屬的組來查找文件。
-mtime -n or +n按照文件的更改時(shí)間來查找文件,-n表示文件更改時(shí)間距現(xiàn)在n天以內(nèi),+n表示文件更改時(shí)間距現(xiàn)在n天以前。find命令還有-atime和-ctime選項(xiàng),但它們都和-mtime選項(xiàng)相似,所以我們?cè)谶@里只介紹-mtime選項(xiàng)。
-nogroup 查找無有效所屬組的文件,即該文件所屬的組在/etc/groups中不存在。
-nouser 查找無有效屬主的文件,即該文件的屬主在/etc/password中不存在。
-newer file1 ! file2 查找更改時(shí)間比文件file1新但比文件file2舊的文件。
-type 查找某一類型的文件,諸如:
b - 塊設(shè)備文件。
d - 目錄。
c - 字符設(shè)備文件。
p - 管道文件。
l - 符號(hào)鏈接文件。
f - 普通文件。
-size n[c] 查找文件長度為n塊的文件,帶有c時(shí)表示文件長度以字節(jié)計(jì)。
-depth 在查找文件時(shí),首先查找當(dāng)前目錄中的文件,然后再在其子目錄中查找。
-fstype 查找位于某一類型文件系統(tǒng)中的文件,這些文件系統(tǒng)類型通常可以在配置文件/etc/fstab中找到,該配置文件中包含了本系統(tǒng)中有關(guān)文件系統(tǒng)的信息。
-mount 在查找文件時(shí)不跨越文件系統(tǒng)mount點(diǎn)。
-follow 如果find命令遇到符號(hào)鏈接文件,就跟蹤至鏈接所指向的文件。
-cpio 對(duì)匹配的文件使用cpio命令,將這些文件備份到磁帶設(shè)備中。
使用name選項(xiàng)
文件名選項(xiàng)是find命令最常用的選項(xiàng),要么單獨(dú)使用該選項(xiàng),要么和其他選項(xiàng)一起使用。可以使用某種文件名模式來匹配文件,記住要用引號(hào)將文件名模式引起來。
不管當(dāng)前路徑是什么,如果想要在自己的根目錄$HOME中查找文件名符合*.txt的文件,使用~作為pathname參數(shù),波浪號(hào)~代表了你的$HOME目錄。
$ find ~ -name "*.txt" -print
想要在當(dāng)前目錄及子目錄中查找所有的‘*.txt’文件,可以用:
$ find . -name "*.txt" -print
想要的當(dāng)前目錄及子目錄中查找文件名以一個(gè)大寫字母開頭的文件,可以用:
$ find . -name "[A-Z]*" -print
想要在/etc目錄中查找文件名以h o s t開頭的文件,可以用:
$ find /etc -name "host*" -print
如果想在當(dāng)前目錄查找文件名以兩個(gè)小寫字母開頭,跟著是兩個(gè)數(shù)字,最后是* . t x t的文
件,下面的命令就能夠返回名為ax37.txt的文件:
$ find . -name "[a-z][a-z][0--9][0--9].txt" -print
使用perm選項(xiàng)
如果希望按照文件權(quán)限模式來查找文件的話,可以采用-perm選項(xiàng)。你可能需要找到所有用戶都具有執(zhí)行權(quán)限的文件,或是希望查看某個(gè)用戶目錄下的文件權(quán)限類型。在使用這一選項(xiàng)的時(shí)候,最好使用八進(jìn)制的權(quán)限表示法。為了在當(dāng)前目錄下查找文件權(quán)限位為7 5 5的文件,即文件屬主可以讀、寫、執(zhí)行,其他用戶可以讀、執(zhí)行的文件,可以用:
$ find . -perm 755 -print
使用prune選項(xiàng)
如果在查找文件時(shí)希望忽略某個(gè)目錄,因?yàn)槟阒滥莻€(gè)目錄中沒有你所要查找的文件,那么可以使用-prune選項(xiàng)來指出需要忽略的目錄。在使用-prune選項(xiàng)時(shí)要當(dāng)心,因?yàn)槿绻阃瑫r(shí)使用了-depth選項(xiàng),那么-prune選項(xiàng)就會(huì)被find命令忽略。
如果希望在/apps目錄下查找文件,但不希望在/apps/bin目錄下查找,可以用:
$ find /apps -name "/apps/bin" -prune -o -print
使用user和nouser選項(xiàng)
如果希望按照文件屬主查找文件,可以給出相應(yīng)的用戶名。例如,在$HOME目錄中查找文件屬主為dave的文件,可以用:
$ find ~ -user dave -print
在/etc目錄下查找文件屬主為uucp的文件:
$ find /etc -user uucp -print
為了查找屬主帳戶已經(jīng)被刪除的文件,可以使用-nouser選項(xiàng)。這樣就能夠找到那些屬主在/etc/password文件中沒有有效帳戶的文件。在使用-nouser選項(xiàng)時(shí),不必給出用戶名;find命令能夠?yàn)槟阃瓿上鄳?yīng)的工作。例如,希望在/home目錄下查找所有的這類文件,可以用:
$ find /home -nouser -print
使用group和nogroup選項(xiàng)
就像user和nouser選項(xiàng)一樣,針對(duì)文件所屬于的用戶組,find命令也具有同樣的選項(xiàng),為了在/apps目錄下查找屬于accts用戶組的文件,可以用:
$ find /apps -group accts -print
要查找沒有有效所屬用戶組的所有文件,可以使用nogroup選項(xiàng)。下面的find命令從文件系統(tǒng)的根目錄處查找這樣的文件
$ fine / -nogroup -print
按照更改時(shí)間查找文件
如果希望按照更改時(shí)間來查找文件,可以使用mtime選項(xiàng)。如果系統(tǒng)突然沒有可用空間了,很有可能某一個(gè)文件的長度在此期間增長迅速,這時(shí)就可以用mtime選項(xiàng)來查找這樣的文件。用減號(hào)-來限定更改時(shí)間在距今n日以內(nèi)的文件,而用加號(hào)+來限定更改時(shí)間在距今n日以前的文件。
希望在系統(tǒng)根目錄下查找更改時(shí)間在5日以內(nèi)的文件,可以用:
$ find / -mtime -5 -print
為了在/var/adm目錄下查找更改時(shí)間在3日以前的文件,可以用:
$ find /var/adm -mtime +3 -print
使用newer選項(xiàng)
如果希望查找更改時(shí)間比某個(gè)文件新但比另一個(gè)文件舊的所有文件,可以使用-newer選項(xiàng)。它的一般形式為:
newest_file_name ! oldest_file_name
其中,!是邏輯非符號(hào)。這里有兩個(gè)文件,它們的更改時(shí)間大約相差兩天。
下面給出的find命令能夠查找更改時(shí)間比文件age.awk新但比文件belts.awk舊的文件:
$find . -newer age.awk ! -newer belts.awk -exec ls -l {} \;
如果想使用find命令的這一選項(xiàng)來查找更改時(shí)間在兩個(gè)小時(shí)以內(nèi)的文件,除非有一個(gè)現(xiàn)成的文件其更改時(shí)間恰好在兩個(gè)小時(shí)以前,否則就沒有可用來比較更改時(shí)間的文件。為了解決這一問題,可以首先創(chuàng)建一個(gè)文件并將其日期和時(shí)間戳設(shè)置為所需要的時(shí)間。這可以用touch命令來實(shí)現(xiàn)。
假設(shè)現(xiàn)在的時(shí)間是2 3 : 4 0,希望查找更改時(shí)間在兩個(gè)小時(shí)以內(nèi)的文件,可以首先創(chuàng)建這樣一個(gè)文件:
$touch -t 05042140 dstamp
一個(gè)符合要求的文件已經(jīng)被創(chuàng)建;這里我們假設(shè)今天是五月四日,而該文件的更改時(shí)間是21:40,比現(xiàn)在剛好早兩個(gè)小時(shí)。
現(xiàn)在我們就可以使用find命令的-newer選項(xiàng)在當(dāng)前目錄下查找所有更改時(shí)間在兩個(gè)小時(shí)以內(nèi)的文件:
$ find . -newer dstamp -print
使用type選項(xiàng)
Unix或Linux系統(tǒng)中有若干種不同的文件類型,這部分內(nèi)容我們?cè)谇懊娴恼鹿?jié)已經(jīng)做了。
如果要在/etc目錄下查找所有的目錄,可以用:
$ find /etc -type d -print
為了在當(dāng)前目錄下查找除目錄以外的所有類型的文件,可以用:
$ find . ! -type d -print
為了在/etc目錄下查找所有的符號(hào)鏈接文件,可以用:
$ find /etc -type l -print
使用size選項(xiàng)
可以按照文件長度來查找文件,這里所指的文件長度既可以用塊(block)來計(jì)量,也可以用字節(jié)來計(jì)量。以字節(jié)計(jì)量文件長度的表達(dá)形式為N c;以塊計(jì)量文件長度只用數(shù)字表示即可。就我個(gè)人而言,我總是使用以字節(jié)計(jì)的方式,在按照文件長度查找文件時(shí),大多數(shù)人都喜歡使用這種以字節(jié)表示的文件長度,而不用塊的數(shù)目來表示,除非是在查看文件系統(tǒng)的大小,因?yàn)檫@時(shí)使用塊來計(jì)量更容易轉(zhuǎn)換。
為了在當(dāng)前目錄下查找文件長度大于1 M字節(jié)的文件,可以用:
$ find . -size +1000000c -print
為了在/home/apache目錄下查找文件長度恰好為1 0 0字節(jié)的文件,可以用:
$ find /home/apache -size 100c -print
為了在當(dāng)前目錄下查找長度超過1 0塊的文件(一塊等于5 1 2字節(jié)),可以用:
$ find . -size +10 -print
使用depth選項(xiàng)
在使用find命令時(shí),可能希望先匹配所有的文件,再在子目錄中查找。使用depth選項(xiàng)就可以使find命令這樣做。這樣做的一個(gè)原因就是,當(dāng)在使用find命令向磁帶上備份文件系統(tǒng)時(shí),希望首先備份所有的文件,其次再備份子目錄中的文件。
在下面的例子中,find命令從文件系統(tǒng)的根目錄開始,查找一個(gè)名為CON.FILE的文件。
它將首先匹配所有的文件然后再進(jìn)入子目錄中查找。
$ find / -name "CON.FILE" -depth -print
使用mount選項(xiàng)
在當(dāng)前的文件系統(tǒng)中查找文件(不進(jìn)入其他文件系統(tǒng)),可以使用f i n d命令的m o u n t選項(xiàng)。
在下面的例子中,我們從當(dāng)前目錄開始查找位于本文件系統(tǒng)中文件名以X C結(jié)尾的文件:
$ find . -name "*.XC" -mount -print
使用cpio選項(xiàng)
cpio命令可以用來向磁帶設(shè)備備份文件或從中恢復(fù)文件。可以使用find命令在整個(gè)文件系統(tǒng)中(更多的情況下是在部分文件系統(tǒng)中)查找文件,然后用cpio命令將其備份到磁帶上。如果希望使用cpio命令備份/etc/、/home/和/apps目錄中的文件,可以使用下面所給出的命令,不過要記住你是在文件系統(tǒng)的根目錄下:
$cd / $find etc home apps -depth -print | cpio -ivcdC65536 -o /dev/rmt0
(在上面的例子中,第一行末尾的\告訴shell命令還未結(jié)束,忽略\后面的回車。)
在上面的例子中,應(yīng)當(dāng)注意到路徑中缺少/,這叫作相對(duì)路徑。之所以使用相對(duì)路徑,是因?yàn)樵趶拇艓е谢謴?fù)這些文件的時(shí)候,可以選擇恢復(fù)文件的路徑。例如,可以將這些文件先恢復(fù)到另外一個(gè)目錄中,對(duì)它們進(jìn)行某些操作后,再恢復(fù)到原始目錄中。如果在備份時(shí)使用了絕對(duì)路徑,例如/etc,那么在恢復(fù)時(shí),就只能恢復(fù)到/ etc目錄中去,別無其他選擇。在上面的例子中,我告訴find命令首先進(jìn)入/etc目錄,然后是/home和/apps目錄,先匹配這些目錄下的文件,然后再匹配其子目錄中的文件,所有這些結(jié)果將通過管道傳遞給cpio命令進(jìn)行備份。順便說一下,在上面的例子中cpio命令使用了C65536選項(xiàng),我本可以使用B選項(xiàng),不過這樣每塊的大小只有5 1 2字節(jié),而使用了C65536選項(xiàng)后,塊的大小變成了64K字節(jié)(65536 /1024)。
使用exec或ok來執(zhí)行shell命令
當(dāng)匹配到一些文件以后,可能希望對(duì)其進(jìn)行某些操作,這時(shí)就可以使用-exec選項(xiàng)。
-exec選項(xiàng)讓find命令對(duì)匹配的文件執(zhí)行該參數(shù)所給出的shell命令。相應(yīng)命令的形式為' command' {} \;,注意{ }和\;之間的空格。-ok和-exec的作用相同,只不過以一種更為安全的模式來執(zhí)行該參數(shù)所給出的shell命令,在執(zhí)行每一個(gè)命令之前,都會(huì)給出提示,讓用戶來確定是否執(zhí)行。一旦find命令匹配到了相應(yīng)的文件,就可以用-exec項(xiàng)中的命令對(duì)其進(jìn)行操作(在有些操作系統(tǒng)中只允許-exec選項(xiàng)執(zhí)行諸如l s或ls -l這樣的命令)。大多數(shù)用戶使用這一選項(xiàng)是為了查找舊文件并刪除它們。這里我強(qiáng)烈地建議你在真正執(zhí)行rm命令刪除文件之前,最好先用ls命令看一下,確認(rèn)它們是所要?jiǎng)h除的文件。
為了使用exec選項(xiàng),必須要同時(shí)使用print選項(xiàng)。如果驗(yàn)證一下find命令,會(huì)發(fā)現(xiàn)該命令只輸出從當(dāng)前路徑起的相對(duì)路徑及文件名。
為了用ls -l命令列出所匹配到的文件,可以把ls -l命令放在find命令的-exec選項(xiàng)中,例如:
$find . -type f -exec ls -l {} \;
上面的例子中,find命令匹配到了當(dāng)前目錄下的所有普通文件,并在-exec選項(xiàng)中使用ls -l命令將它們列出。
為了在/logs目錄中查找更改時(shí)間在5日以前的文件并刪除它們,可以用:
$ find logs -type f -mtime +5 -exec rm {} \;
記住,在shell中用任何方式刪除文件之前,應(yīng)當(dāng)先查看相應(yīng)的文件,一定要小心!當(dāng)使用諸如mv或rm命令時(shí),可以使用-exec選項(xiàng)的安全模式。它將在對(duì)每個(gè)匹配到的文件進(jìn)行操作之前提示你。在下面的例子中,find命令在當(dāng)前目錄中查找所有文件名以. LOG結(jié)尾、更改時(shí)間在5日以上的文件,并刪除它們,只不過在刪除之前先給出提示。
按y鍵刪除文件,按n鍵不刪除。
任何形式的命令都可以在-exec選項(xiàng)中使用。在下面的例子中我們使用grep命令。find命令首先匹配所有文件名為“password*”的文件,例如password,password.old,password.bak,然后執(zhí)行g(shù)rep命令看看在這些文件中是否存在一個(gè)rounder用戶。
$find /etc -name "password*" -exec grep "rounder" {} \;
find和xargs
在使用find命令的-exec選項(xiàng)處理匹配到的文件時(shí),find命令將所有匹配到的文件一起傳遞給exec執(zhí)行。不幸的是,有些系統(tǒng)對(duì)能夠傳遞給exec的命令長度有限制,這樣在find命令運(yùn)行幾分鐘之后,就會(huì)出現(xiàn)溢出錯(cuò)誤。錯(cuò)誤信息通常是“參數(shù)列太長”或“參數(shù)列溢出”。這就是xargs命令的用處所在,特別是與find命令一起使用。find命令把匹配到的文件傳遞給xargs命令,而x a rg s命令每次只獲取一部分文件而不是全部,不像-exec選項(xiàng)那樣。這樣它可以先處理最先獲取的一部分文件,然后是下一批,并如此繼續(xù)下去。在有些系統(tǒng)中,使用-exec選項(xiàng)會(huì)為處理每一個(gè)匹配到的文件而發(fā)起一個(gè)相應(yīng)的進(jìn)程,并非將匹配到的文件全部作為參數(shù)一次執(zhí)行;這樣在有些情況下就會(huì)出現(xiàn)進(jìn)程過多,系統(tǒng)性能下降的問題,因而效率不高;而使用xargs命令則只有一個(gè)進(jìn)程。另外,在使用xargs命令時(shí),究竟是一次獲取所有的參數(shù),還是分批取得參數(shù),以及每一次獲取參數(shù)的數(shù)目都會(huì)根據(jù)該命令的選項(xiàng)及系統(tǒng)內(nèi)核中相應(yīng)的可調(diào)參數(shù)來確定。
下面的例子查找系統(tǒng)中的每一個(gè)普通文件,然后使用xargs命令來測(cè)試它們分別屬于哪類文件:下面的例子在整個(gè)系統(tǒng)中查找內(nèi)存信息轉(zhuǎn)儲(chǔ)文件 (core dump),然后把結(jié)果保存到/tmp/core.log 文件中:
$ find . -name "core" -print | xargs echo "" >/tmp/core.log
下面的例子在/apps/audit目錄下查找所有用戶具有讀、寫和執(zhí)行權(quán)限的文件,并收回相應(yīng)的寫權(quán)限:
$ find /apps/audit -perm -7 -print | xargs chmod o-w
在下面的例子中,我們用g r e p命令在所有的普通文件中搜索device這個(gè)詞:
$ find / -type f -print | xargs grep "device"
在下面的例子中,我們用grep命令在當(dāng)前目錄下的所有普通文件中搜索DBO這個(gè)詞:
$ find . -name \* -type f -print | xargs grep "DBO"
注意,在上面的例子中,\用來取消f i n d命令中的*在s h e l l中的特殊含義。
參考至:《LINUX與UNIX SHELL編程指南》
http://blog.csdn.net/jakee304/article/details/1792830
http://tech.ddvip.com/2008-09/122069016161378.html
