1. 使用 find 可以查找出符合某一特性(如权限、属主、长度、类型、名字等)的文件或目录,结合 -exec、-ok 和 -xargs,可以完成更多的工作。
2.find 的 name 选项:
根据文件名字匹配查找,如在自己的根目录下查找符合 *.txt 的文件:
扩展:find / ! -name "myshell" -print
(
从上面的输出可以看出,对于 root 用户而言:
~
$HOME
/root
代表的都是同一个目录,就是 /root。
特别的,对于用户 xxx 而言, $HOME 和 ~ 代表的就是 /xxx 目录,这个目录的位置(以 zhy 用户为例),如下:
可以看到,/zhy 是在 /home 下。对于非管理员用户, /xxx 目录都是在 /home下,而 root用户的 /root 目录位置如下:
是直接位于根目录下的(管理员是老大嘛,当然优待咯)。
)
在当前目录下查找,就用 “.“:
# find . -name "*.txt" -print
该命令会查找当前目录及子目录下满足条件的文件。
在当前目录中查找大写字母开头的文件:
# find . -name "[A-Z]*" -print
注意后面有个 *
在 /etc 中查找以 "host" 开头的文件:
# find /etc -name "host*" -print
在 $HOME 下查找所有文件:
# find ~ -name "*" -print
或
# find ~ -print
如果想让系统高负荷运转,就用从根目录查找:
# find / -name "*" -print ( # find / -print)
对这个命令稍加修改:
# find / -name "*" -print
就可以让它在后台运行了,这个时候,通过 ctrl + c ,也不能中断它的执行了。。。
查找文件以两个小写字母开头,跟着是两个数字的 .txt 文件,可以用:
# find / -name "[a-z][a-z][0-9][0-9].txt" -print
3. find 的 perm 选项:
按照文件权限来查找文件。
查找文件属主可以读、写、执行,其他用户可以读、执行的文件:
# find . -perm 755 -print
如:
扩展:find . ! -perm 755 -print
4. find 的 prune 选项:
查找文件时,忽略某个目录,如:
如果希望在 /apps 目录下查找文件,但不希望在 /apps/bin 目录下查找,可以用:
# find /apps -name "/apps/bin" -prune -o -print
5. user 和 nouser 选项:
user : 根据文件的属主查找文件:
# find . -user zhy -print
在linux下,可能有些属主,可能被管理员删掉了,这个时候,就能用-nouser 选项找到那些在属主在 /etc/passwd文件中没有有效账户的文件。在用 -nouser 时,不用给出用户名。
# find / -nouser -print
6. 使用 group 和 nogroup:
就像使用 user 和 nouser 一样,group 与 nogroup 选项能找出属于某一用户组的文件,和用户组已经不存在的文件。
# find / -group zhy -print
# find / -nogroup -print
7. 使用 -mtime 选项:
该选项可以查找指定时间内或指定时间外修改的文件,如果系统突然没有可用空间了,很有可能某一个文件的长度在此期间增长迅速,这时就可以用 mtime 选项来查找这样的文件:
-1表示1日(24小时)之内更改过的文件。
+2表示2日(48小时)之前更改过的文件。
8. newer 选项:
newer 命令能让我们找出更改时间介于两个文件之间的文件,如有下面两个文件,它们更改时间相差大概两天:
通过下面的命令,我们就可以找出更改时间介于这两者的文件了:
# find / -newer age.awk ! -newer belts.awk -exec ls -l {} \;
从上面可以看出,这种比较必须有参考的文件,比如要查找更改时间在两个小时以内的文件,就必须有一个更改时间正好在两个小时之前那个时刻的文件可以供参考。这里我们可以通过 touch 来创建一个指定更改时间的文件:
假如现在是 12月26日10点41分,那就需要创建一个更改时间在12月26日08点41分的文件:
# touch -t 12260841 oldfile
然后通过:
# find / -newer oldfile -print
来查找更改时间在两个小时内的文件。
9. 用 type 查找指定类型的文件:
在根目录下,查找所有的目录:
# find / -type d - print
查找除目录以外所有类型的文件:
# find / ! -type d -print
查找所有符号链接文件:
# find / -type l -print
查找所有普通文件:
# find / -type f -print
10. 使用 size 选项:
使用可以查找指定长度的文件,可以以字节为单位,也可以用块为单位,1块 = 512字节(0.5M)。
以字节为单位,需要在数字后面加 c,如:
在根目录下查找文件长度大于 1M 的文件:
# find / -size +1000000c -print
用块表示就是:
# find / -size +2 -print
查找刚好是100字节的文件:
# find / -size 100c -print
查找小于100字节的文件:
# find / -size -100c -print
11. 使用 depth 选项:
查找时使用depth命令,可以先在指定文件的根目录下查找所有文件,再进入子目录中查找,有时备份可能需要这样做。
如:从根目录开始,查找名为 "CON.FILE" 的文件,它将首先匹配所有的文件然后再进入子目录查找:
# find / -name "CON.FILE" -depth -print
12. 使用 mount 选项:
查找文件时,可以只在指定目下查找,而不进入子目录下查找,这可以通过 mount 指定。
如:
# find . -name "*.XC" -mount -print
13. 使用cpio选项:
cpio 选项可以用来向磁带设备备份文件或从中恢复文件。结合find,可以在整个文件系统中查找文件,然后用 cpio 命令将其备份到磁带上。
下面的命令:
# cd /
# find etc home apps -depth -print | cpio -ivcdC65535 -o \
/dev/rmt0
\&;用来告诉系统,shell 命令还没有结束,请忽略 \&;后面的回车。该命令用来将 /etc、/home 和 /apps 目录下的文件备份到设备 /dev/rmt0 中。
上面命令中 etc 、home、 apps 前都没有 / ,这是用了相对路径(用了 / 就是绝对路径),之所以用相对路径,是因为:
在从磁带中恢复这些文件的时候,可以选择恢复文件的路径。例如,可以将这些文件先恢复到另外一个目录中,对它们进行某些操作后,再恢复到原始目录中。如果在备份时使用了绝对路径,例如 /etc,那么在恢复时,就只能恢复到 /etc 目录中去,别无其他选择。
上面的命令,告诉 find 命令首先进入 /etc 目录,然后是 /home 和 /apps 目录,先匹配这些目录下的文件,然后再匹配其子目录中的文件,所有这些结果将通过管道传递给 cpio 命令进行备份。
顺便说一下,在上面的例子中 cpio 命令使用了 C65536 选项,我本可以使用 B 选项,不过这样每块的大小只有 512 字节,而使用了 C65536 选项后,块的大小变成了 64K 字节(65536 / 1024) 。
14. 使用 exec 或 ok 选项:
用 find 匹配到一些文件之后,可以用 exec 和 ok 选项来对其进行某些操作。
用 exec 和 ok 的格式是:exec(ok) 选项后面跟随着所要执行的命令,然后是一对儿 {},一个空格和一个\,最后是一个分号。
如:
# find . -type f -exec ls -l {} \;
该命令查找并列出匹配到的文件。
# find logs -type f -mtime +5 -exec rm {} \;
该命令查找更改时间在5天以前的普通文件,并删除它们。
exec 的安全模式:ok
# find . -name "*.LOG" -mtime +5 -ok rm {} \;
该命令和用 exec 的唯一区别就是 该命令在删除时,会给出提示。
# find /etc -name "passwd*" -exec grep "zhy" {} \;
该命令首先匹配所有名为 "passwd*" 的文件,如:passwd、pssswd.old、passwd.bak,然后执行 grep 命令查看在这些命令中是否存在 zhy 用户。
find 的其他例子:
# find ~ -print ( find $HOME -print)
查找所有文件
# find . -type f -perm 4755 -print
查找 suid 置位,文件属主具有读、写、执行权限,其他用户具有读和执行权限的文件。
# find / -group zhy -print
查找属主是 zhy 的文件。
# $ find /logs -name 'admin.log[0-9][0-9][0-9]' -mtime +7 -exec rm {} \;
查找具有指定名称的,修改日期在7天以前的文件,并删除。
# find /dev/rmt -print
查找系统中所有的 rmt 磁带设备。
15. 使用 xargs 选项:
为什么使用 xargs:
在使用f i n d命令的- e x e c选项处理匹配到的文件时,f i n d命令将所有匹配到的文件一起传递给e x e c执行。不幸的是,有些系统对能够传递给 e x e c的命令长度有限制,这样在f i n d命令运行几分钟之后,就会出现溢出错误。错误信息通常是“参数列太长”或“参数列溢出” 。这就是x a rg s命令的用处所在,特别是与 f i n d命令一起使用。F i n d命令把匹配到的文件传递给 x a rg s命令,而x a rg s命令每次只获取一部分文件而不是全部,不像 - e x e c选项那样。这样它可以先处理最先获取的一部分文件,然后是下一批,并如此继续下去。在有些系统中,使用 - e x e c选项会为处理每一个匹配到的文件而发起一个相应的进程,并非将匹配到的文件全部作为参数一次执行;这样在有些情况下就会出现进程过多,系统性能下降的问题,因而效率不高;而使用 xargs 命令则只有一个进程。另外,在使用 x a rg s命令时,究竟是一次获取所有的参数,还是分批取得参数,以及每一次获取参数的数目都会根据该命令的选项及系统内核中相应的可调参数来确定。
例:
# find / -type f -print | xargs file | tee /root/shell/xargs.log
查找系统中的每一个普通文件,然后使用 x a rg s命令来测试它们分别属于哪类文件,并将输出导入到 xargs.log 文件中。用 -exec 试下,就是:
# find / -type f -print -exec file {} \; | tee /root/shell/exec.log
通过对比 xargs.log 和 exec.log ,发现二者的输出,确实一样,但执行 xargs 命令的效率明显比 -exec 快很多(从执行速度上看)。
# find /apps/audit -perm 777 -print | xargs chmod o-w
在/ a p p s / a u d i t目录下查找所有用户具有读、写和执行权限的文件,并收回其他用户的写权限。
# find / -type f -print | xargs grep "device"
用 grep 命令在所有的普通文件中搜索device这个词:
# find . -name \* -type f -print | xargs grep "192.168.5.29"
该命令在当前目录下的所有普通文件中搜索 192.168.5.29 这个词,\用来取消 find 命令中的*在 shell 中的特殊含义。