linux命令之find

-name   filename             #查找名爲filename的文件
-perm                        #按執行權限來查找
-user    username             #按文件屬主來查找
-group groupname            #按組來查找
-mtime   -n +n                #按文件更改時間來查找文件，-n指n天以內，+n指n天以前
-atime    -n +n               #按文件訪問時間來查GIN: 0px">

-ctime    -n +n              #按文件創建時間來查找文件，-n指n天以內，+n指n天以前

-nogroup                     #查無有效屬組的文件，即文件的屬組在/etc/groups中不存在
-nouser                     #查無有效屬主的文件，即文件的屬主在/etc/passwd中不存
-newer   f1 !f2              找文件，-n指n天以內，+n指n天以前 
-ctime    -n +n               #按文件創建時間來查找文件，-n指n天以內，+n指n天以前 
-nogroup                     #查無有效屬組的文件，即文件的屬組在/etc/groups中不存在
-nouser                      #查無有效屬主的文件，即文件的屬主在/etc/passwd中不存
-newer   f1 !f2               #查更改時間比f1新但比f2舊的文件
-type    b/d/c/p/l/f         #查是塊設備、目錄、字符設備、管道、符號鏈接、普通文件
-size      n[c]               #查長度爲n塊[或n字節]的文件
-depth                       #使查找在進入子目錄前先行查找完本目錄
-fstype                     #查更改時間比f1新但比f2舊的文件
-type    b/d/c/p/l/f         #查是塊設備、目錄、字符設備、管道、符號鏈接、普通文件
-size      n[c]               #查長度爲n塊[或n字節]的文件
-depth                       #使查找在進入子目錄前先行查找完本目錄
-fstype                      #查位於某一類型文件系統中的文件，這些文件系統類型通常可 在/etc/fstab中找到
-mount                       #查文件時不跨越文件系統mount點
-follow                      #如果遇到符號鏈接文件，就跟蹤鏈接所指的文件
-cpio                %;      #查位於某一類型文件系統中的文件，這些文件系統類型通常可 在/etc/fstab中找到
-mount                       #查文件時不跨越文件系統mount點
-follow                      #如果遇到符號鏈接文件，就跟蹤鏈接所指的文件
-cpio                        #對匹配的文件使用cpio命令，將他們備份到磁帶設備中
-prune                       #忽略某個目錄

=====================================================
$find   ~   -name   "*.txt"   -print    #在$HOME中查.txt文件並顯示
$find   .    -name   "*.txt"   -print
$find   .    -name   "[A-Z]*"   -print   #查以大寫字母開頭的文件
$find   /etc   -name   "host*"   -print #查以host開頭的文件
$find   .   -name   "[a-z][a-z][0–9][0–9].txt"    -print   #查以兩個小寫字母和兩個數字開頭的txt文件
$find .   -perm   755   -print
$find   .   -perm -007   -exec ls -l {} \;   #查所有用戶都可讀寫執行的文件同-perm 777
$find   . -type d   -print
$find   .   !   -type   d   -print 
$find   .   -type l   -print

$find   .   -size   +1000000c   -print        #查長度大於1Mb的文件
$find   .   -size   100c         -print       # 查長度爲100c的文件
$find   .   -size   +10   -print              #查長度超過期作廢10塊的文件（1塊=512字節）

$cd /
$find   etc   home   apps    -depth   -print   | cpio   -ivcdC65536   -o   /dev/rmt0
$find   /etc -name "passwd*"   -exec grep   "cnscn"   {}   \;   #看是否存在cnscn用戶
$find . -name "yao*"   | xargs file
$find   . -name "yao*"   |   xargs   echo    "" > /tmp/core.log
$find   . -name "yao*"   | xargs   chmod   o-w

======================================================

find   -name april*                     在當前目錄下查找以april開始的文件
find   -name   april*   fprint file        在當前目錄下查找以april開始的文件，並把結果輸出到file中
find   -name ap* -o -name may*   查找以ap或may開頭的文件
find   /mnt   -name tom.txt   -ftype vfat   在/mnt下查找名稱爲tom.txt且文件系統類型爲vfat的文件
find   /mnt   -name t.txt ! -ftype vfat   在/mnt下查找名稱爲tom.txt且文件系統類型不爲vfat的文件
find   /tmp   -name wa* -type l            在/tmp下查找名爲wa開頭且類型爲符號鏈接的文件
find   /home   -mtime   -2                 在/home下查最近兩天內改動過的文件
find /home    -atime -1                  查1天之內被存取過的文件
find /home -mmin    +60                  在/home下查60分鐘前改動過的文件
find /home   -amin   +30                  查最近30分鐘前被存取過的文件
find /home   -newer   tmp.txt             在/home下查更新時間比tmp.txt近的文件或目錄
find /home   -anewer   tmp.txt            在/home下查存取時間比tmp.txt近的文件或目錄
find   /home   -used   -2                  列出文件或目錄被改動過之後，在2日內被存取過的文件或目錄
find   /home   -user cnscn                列出/home目錄內屬於用戶cnscn的文件或目錄
find   /home   -uid   +501                  列出/home目錄內用戶的識別碼大於501的文件或目錄
find   /home   -group   cnscn              列出/home內組爲cnscn的文件或目錄
find   /home   -gid 501                   列出/home內組id爲501的文件或目錄
find   /home   -nouser                    列出/home內不屬於本地用戶的文件或目錄
find   /home   -nogroup                   列出/home內不屬於本地組的文件或目錄
find   /home    -name tmp.txt    -maxdepth   4   列出/home內的tmp.txt 查時深度最多爲3層
find   /home   -name tmp.txt   -mindepth   3   從第2層開始查
find   /home   -empty                     查找大小爲0的文件或空目錄
find   /home   -size   +512k                查大於512k的文件
find   /home   -size   -512k               查小於512k的文件
find   /home   -links   +2                查硬連接數大於2的文件或目錄
find   /home   -perm   0700                查權限爲700的文件或目錄
find   /tmp   -name tmp.txt   -exec cat {} \;
find   /tmp   -name   tmp.txt   -ok   rm {} \;

find    /   -amin    -10     # 查找在系統中最後10分鐘訪問的文件
find    /   -atime   -2        # 查找在系統中最後48小時訪問的文件
find    /   -empty             # 查找在系統中爲空的文件或者文件夾
find    /   -group   cat        # 查找在系統中屬於 groupcat的文件
find    /   -mmin   -5         # 查找在系統中最後5分鐘裏修改過的文件
find    /   -mtime   -1       #查找在系統中最後24小時裏修改過的文件
find    /   -nouser           #查找在系統中屬於作廢用戶的文件
find    /   -user    fred     #查找在系統中屬於FRED這個用戶的文件

Linux-all, Linux | No Comments »

find 實例

四月 18th, 2006

　　要在/usr/linux中查找所有的*.h，並在這些文件中查找「SYSCALL_VECTOR"，最後打印出所有包含"SYSCALL_VECTOR"的文件名，有以下幾種方法實現
find /usr/linux -name "*.h" | xargs -n50 grep SYSCALL_VECTOR
grep SYSCALL_VECTOR /usr/linux/*.h | cut -d’:’ -f1 | uniq > filename
find /usr/linux -name "*.h" -exec grep "SYSCALL_VECTOR" {} \; -print

　　我用find / -name filename| rm -rf，不成功，請問爲什麼不成功？
find / -name filename -exec rm -rf {} \;
find . -name filename |rm -rf試一下{} 表示你找出來的結果。
\; 則相當於「憲法」，沒什麼說頭，就是這麼規定的，在 -exec 後面需要一個表示該命令終結的的符號。可以在 man find 中找到答案。
要讓rm識別find的結果，如下：
find / -name filename |xargs rm -rf
之所以find . -name filename |rm -rf不通過，是因爲rm命令不接受從標準輸入傳過來的指令
查找含特定字符串的文件
例如查找當前目錄下含有"the string you want find…"字符串的文件：
$find . -type f -exec grep 「the string you want find…」 {} ; -print

　　從根目錄開始查tmpfile，一旦查到馬上刪除
find / -name "tmpfile" -exec rm {} \;

　　find 的perm問題
請問一下以下命令什麼意思？關鍵是那個數字前的-，其他都還知道
find -name ".*" -perm -007
我知道
find -name ".*" -perm 755
這個是用來查找權限位爲755的隱藏文件
噢，對了還有，我上邊的命令都省略了find的pathname參數 find默認是查找當前工作目錄的嗎？
如果我用 -ok 替代 -exec, 那麼還需要加上 {} \; 嗎？
這個已經清楚，仍然需要，因爲 -ok 只是 -exec 的提示模式，它只是多了一個確認操作的步驟,剛纔沒有讀懂那幾句E文的意思 呵呵 不好意思
-007是指查找所有用戶都可讀、寫、執行的文件，要小心呀~~~
解釋解釋？
find -name ".*" -perm -007 和 find -name ".*" -perm 777 有區別嗎？
-007是怎麼來得呢？
不過有一個問題
我用 find . -perm -100 會列出當前目錄 . , 這是爲什麼呢？

下面引用由explover在 2002/10/01 06:15am 發表的內容：
-007是指查找所有用戶都可讀、寫、執行的文件，要小心呀~~~
-007是查找含其它用戶(不同組,非屬主)可讀,寫,執行的文件.並不一定要同組可讀寫,-是指最少權限爲007.
下面引用由一顆小白菜在 2002/10/01 10:16am 發表的內容：
OK了， 呵呵
不過有一個問題
我用 find . -perm -100 會列出當前目錄 . , 這是爲什麼呢？
這種方法不會準確的找出目錄的. -100是指權限至少是屬主可運行.
在unix系統下,你可以擁有對目錄文件的執行權你纔可以進入一個目錄.這便是目錄文件被列出的原因.
find . -perm -001 -print找到往往是目錄文件.
我的意思當然不是使用這種方法來找目錄，只不過不明白其中的 -100 意義了
那以此類推，是不是 -010是指權限至少是owner同組可執行的嗎？也就是說其實這裏的010和-是分開的，-表示一個至少的意思，而且010纔是真正用來描述權限位的？
這樣子就明白了 謝謝你噢

　　將find出來的東西拷到另一個地方?
find *.c -exec cp ‘{}’ /tmp ‘;’
如果有特殊文件，可以用cpio，也可以用這樣的語法：
find dir -name filename -print | cpio -pdv newdir

　　找出磁盤中某個大小範圍內的文件
比如要查找磁盤中大於3M的文件：
find . -size +3000k -exec ls -ld {} ;

　　如何用find查找某一天更改的文件？
可以使用這一行命令來實現：
A=`find ~ -print` | ls -l –full-time $A 2>/dev/null | grep "Jun 27" | grep 1998

　　使用find 命令查找某個時間段的shell怎麼寫。比如11點到12點的。thanks
創建一個腳本judgetime，內容如下：
ls -l $*|awk ‘{split($8,hour,":");if((hour[1]>23 || hour[1] < 1)&&hour[1]<24)print}’
到要查找的目錄下，運行
find ./ -name "*" -exec judgetime {} \;
注意時間格式爲２４小時制。
thank you ，如果我要精確到分鐘呢
touch -t 04241112 starttemp #精確到12分鐘
touch -t 04241220 endtemp #截止到12點20
find [dir] -newer starttemp -a ! -newer endtemp -exec ls -l {} \;
ｎｅｗｅｒ？
那昨天１２：１０文件如何呢？
每天執行的時候，用當天的日期和時間戳替換一下不就行了嗎？
我不知道他是不是把所有的11：00~12：00的都找出來，是不是隻執行一次還是每天都執行？
這種情況俺猜想是自己的東西放在哪忘了，只記得當時是深夜了。
有道理！
不愧是斑竹！
不光知道怎麼解決問題，還知道在什麼情況下出現這類問題，佩服佩服！
問題又出現了。創建這個文件的時候。本來應該是時間的一欄現在寫上了2002，而不是12：00.
等到12：00過了吧！

　　刪除指定日期的文件
find ./ -name 文件名 -exec rm -f {} \;
例：刪除當前30天內沒用過的文件,用如下命令：
find / -atime +30 -exec rm -f {} \;
我自己試着寫了一小段SHELL,也用ll ,grep, rm 幾個命令，用起來還差強人意。
對過濾出來的文件名列表中用了一個FOR語句，再執行rm 。現在我想把這段SHELL 擴展一下讓它每天定時運行將 n 天前的文件刪掉，有沒有人能給我一些提示，謝謝！
還有個問題，對於前面那位朋友提到的"find / -atime +30 -exec rm -f {} \;
"方法，我很早就試過幾次，不過好像都不太對，參數 -atime n 是查找n天前被訪問過的文件，我不明白的是這裏的時間參照點是什麼，以及這個n天是怎麼計算的。
問 題二、對於"ll |cut -f 1" 這個命令我是不是用錯了，我只想取出 ll 中列出的文件名，但用cut -f 命令做不到 ，我只好換用 ll |cut -c 59- 這種方式得到我要的文件名，but it’s a pool idear ！我也試過用awk ，好像也不對，看看大家可不可以給我一些小小的提醒，TKS SO MUCH
問題三、如何改變 I結點 的日期格式 我現在的系統顯示的格式是：
-rw-r—– 1 msahz01 users 2253 2002年2月 2日 poheader.i
我想把這換成
-rw-rw-rw- 1 house users 2193 Apr 19 2001 hkdisp.p
如何才能做到這點？
awk 應該可以
ll | awk ‘{print $9}’
刪除多少天之前的文件
find /yourpath -mtime +31 -exec rm {} \;
find /yourpath -mtime +366 -exec rm {} \;

find中, -ctime, -mtime及其-atime有何區別

請問 -ctime 和 -mtime 有什麼關係 ?
如果父目錄的 ctime 改變, 那它下面的文件的 ctime 就會自動都改了嗎 ?
-ctime 和 -mtime ,-atime 這些信息是存在哪兒呢 ?

我用 -mtime -1 找到了新建或改的文件.
但怎樣才能找到一天內 mv 來的文件呢( 它們的時間是原有的時間,早於一天 ) ?

用-newer選項啊。
你可以先touch一個你想要的時間的文件如下：
$ touch -t 08190800 test
$ ls -l test
-rw-r–r– 1 dba other 0 Aug 19 08:00 test
然後
$ find . -newer test -print
.
./.sh_history
$ ls -l .sh_history
-rw——- 1 dba other 154 Aug 20 17:39 .sh_history

用touch可以寫出你想要的任何時間的文件，然後用-newer ,! -newer選項即可成功。

1.ctime含inode信息修改的時間.mtime只指文件內容建立或修改的時間.
2 不會.
3.這些信息應該是存在文件系統的超級塊裏.

我查了書 -ctime 是指 inode 的改變(或稱文件的狀態改變).
請問 inode 存了哪些信息 ?
做了些小測試,-mtime 改, -ctime 一定也改.
改文件名, -ctime 也會改.
誰能回答 i-node 存了哪些東西 ?

vi /usr/include/sys/inode.h

班主,我不能 access /usr/include/sys/inode.h .
摘書如下:
Directories contain directory entries. Each entry contains a file or subdirectory name and an index node reference number (i-node number). To increase speed and enhance use of disk space, the data in a file is stored at various locations in the computer’s memory. The i-node contains the addresses used to locate all the scattered blocks of data associated with a file. The i-node also records other information about the file including time of modification and access, access modes, number of links, file owner, and file type.
可我發現 -atime 改了, -ctime 還沒改. why ?
( 我先 cat 一個 ASCII 文件,再用 -atime -1 有它用 -ctime -1 居然沒有它.)
着豈不跟 inode 信息改變, ctime 就改矛盾嗎?

我不同意你貼出來的那段文章,正如我提到的那樣,atime,ctime,mtime是放到超級塊裏,在sco unix下是一種叫stat的結構.(stat_32),不同的系統文件系統可能不同.
sco 下inode的結構如下:

typedef struct inode
{
struct inode *i_forw; /* inode hash chain */
struct inode *i_back; /* ‘’ */
struct inode *av_forw; /* freelist chain */
struct inode *av_back; /* ‘’ */
int *i_fsptr; /* "typeless" pointer to fs dependent */
ino32_t i_number; /* i number, 1-to-1 with dev address */
ushort i_ftype; /* file type = IFDIR, IFREG, etc. */
short i_fstyp; /* File system type */
off_t i_size; /* size of file */
ushort i_uid; /* owner */
ushort i_gid; /* group of owner */
ushort i_flag;
ushort i_want; /* i_flag extension to avoid MP races */
ushort i_count; /* reference count */
short i_nlink; /* directory entries */
dev_t i_rdev; /* Raw device number */
#define i_namtype i_rdev /* i_ftype==IFNAM subtype */
dev_t i_dev; /* device where inode resides */
struct mount *i_mton;/* ptr to mount table entry that */
/* this directory is mounted on */
struct region *i_rp; /* ptr to shared region if any */
struct stdata *i_sp; /* ptr to associated stream */
struct iisem *isem; /* ptr to XENIX semaphores */
struct iisd *isd; /* ptr to XENIX shared data */
} i_un;
#define i_mnton i_un.i_mton /* i_ftype==IFDIR IMOUNT */
#define i_rptr i_un.i_rp /* i_ftype==IFREG || i_ftype==IFBLK */
#define i_sptr i_un.i_sp /* i_ftype==IFCHR || i_ftype==IFIFO */
#define i_sem i_un.isem /* i_ftype==IFNAM && i_namtype==IFSEM */
#define i_sd i_un.isd /* i_ftype==IFNAM && i_namtype==IFSHD */

struct fstypsw *i_fstypp; /* ptr to file system switch FSPTR */
long *i_filocks; /* pointer to filock (structure) list */
unsigned long i_mappages; /* number of pages currently cached */
unsigned long i_vcode; /* read-ahead block save (NFS) */
short i_wcnt; /* write open count or ITEXT count */
struct lockb i_cilock; /* tas to synchronize i_flag changes */
ushort i_rdlocks; /* count of non-exclusive lockers */
} inode_t;

所以,訪問一個文件不能改變inode信息.
使用chown, chgrp, chmod命令可以很好的比較mtime和ctime
chown改變一個文件的屬主,用ctime可以找到,用mtime便找不到.
試試看.

多謝斑竹! 我是在 Solaris 上面試的.我是對 -ctime 不明白.
試的結果如下:
修改文件,-mtime 改了, -ctime 也會改.
訪問文件,-atime 改了, -ctime 沒變.
chown, chgrp, chmod,mv, 都會使 -ctime 改變,但不影響 -atime 和 -mtime.
touch 可以改 -mtime and/or -atime,但 touch -a 只改訪問時間時,-ctime也改了.
touch -m 改修改時間時,-ctime當然也改了.
好象還有別的很多東西可以令 -ctime 改變, 搞不清楚.
有什麼方法可以顯示 -mtime,atime,ctime 嗎?
可以用 -ctime 來實現對目錄的增量文件進行備份或 transfer 嗎 ?
多謝!

沒有什麼工具顯示,(可能是俺不知道)
把下面程序裏的st_mtime換成st_ctime,或st_atime便可以得到你要的了.
#include
int
main (int argc, char **argv)
{
struct stat buf;
char date[80];
char fname[80];
printf("Enter filename (with full path) to check mtime : ");
scanf("%s",fname);
stat(fname, &buf);
printf ("mtime (in sec) of %s = %ld\n", fname, buf.st_mtime);
strcpy(date, ctime((time_t *)&(buf.st_mtime)));
printf ("mtime (in date) of %s = %s\n", fname, date);
}

至於文件備份,有什麼不可以的麼?

mtime ls -l 最近修改文件內容的時間
atime ls -lu 最近訪問文件的時間
ctime ls -li 最近文件有所改變的狀態 ,如文件修改,屬性\屬主 改變 ,節點 ,鏈接變化等 ,應該是不拘泥只是時間前後的改變

俺看了ls的幫助,以爲只是按ctime或atime排序,顯示的時間還是mtime.

仔細比較了一下,ayhan說的是對的.謝謝ayhan.

多謝 ahyan 提示 ! 我在 Solaris 上試過如下: mtime 用 ls -l 看到 atime 用 ls -lu 看到 ctime 用 ls -lc 看到. (ls -li 只有 inode number) 摘書如下: -c Uses time of last modification of the i-node (file created, mode changed, and so forth) for sorting (-t) or printing (-l or -n). -u Uses time of last access instead of last modification for sorting (with the -t option) or printing (with the -l option). -i For each file, prints the i-node number in the first column of the report.