Linux中文件查找技术大全

每一种操作系统都是由成千上万个不同种类的文件所组成的。其中有系统本身自带的文件，用户自己的文件，还有共享文件等等。我们有时候经常忘记某份文件放在硬盘中的哪个地方。在微软的WINDOWS操作系统中要查找一份文件是相当简单的事情，只要在桌面上点击“开始”－“搜索”中就能按照各种方式在本地硬盘上，局域网络，甚至在INTERNET上查找各种文件，文档。
可是使用Linux的用户就没有那么幸运了，在Linux上查找某个文件确实是一件比较麻烦的事情。毕竟在Linux中需要我们使用专用的“查找”命令来寻找在硬盘上的文件。Linux下的文件表达格式非常复杂，不象WINDOWS,DOS下都是统一的AAAAAAA.BBB格式那么方便查找，在WINDOWS中，只要知道要查找的文件的文件名或者后缀就非常容易查找到。Linux中查找文件的命令通常为“find”命令，“find”命令能帮助我们在使用,管理Linux的日常事务中方便的查找出我们需要的文件。对于Linux新手来说，“find”命令也是了解和学习Linux文件特点的方法。因为Linux发行版本繁多，版本升级很快，在Linux书籍上往往写明某个配置文件的所在位置，往往Linux新手按图索骥还是不能找到。比如说REDHAT Linux 7.O和REDHAT Linux 7.1中有些重要的配置文件所在的硬盘位置和文件目录就有了很大的改变，如果不学会使用“find”命令，那么在成千上万的Linux文件中要找到其中的一个配置文件是相当困难的，笔者在没有精通“find”命令之前就吃过这样的苦头。好，下面就详细为大家介绍强大的“find”命令的全部使用方法和用途。
通过文件名查找法：
这个方法说起来就和在WINDOWS下查找文件一样容易理解了。如果你把这个文件放在单个的文件夹里面，只要使用常见的“ls"命令就能方便的查找出来，那么使用“find”命令来查找它就不能给你留下深刻的印象，毕竟“find”命令的强大功能不止这个。如果知道了某个文件的文件名，而不知道这个文件放到哪个文件夹，甚至是层层套嵌的文件夹里。举例说明，假设你忘记了httpd.conf这个文件在系统的哪个目录下，甚至在系统的某个地方也不知道，则这是可以使用如下命令：
find / -name httpd.conf
这个命令语法看起来很容易就明白了，就是直接在find后面写上 -name，表明要求系统按照文件名查找，最后写上httpd.conf这个目标文件名即可。稍等一会系统会在计算机屏幕上显示出查找结果列表：
etc/httpd/conf/httpd.conf
这就是httpd.conf这个文件在Linux系统中的完整路径。查找成功。
如果输入以上查找命令后系统并没有显示出结果，那么不要以为系统没有执行find/ -name httpd.conf命令，而可能是你的系统中没有安装Apache服务器，这时只要你安装了Apache Web服务器，然后再使用find / -name httpd.conf就能找到这个配置文件了。
无错误查找技巧：
在Linux系统中“find”命令是大多数系统用户都可以使用的命令，并不是ROOT系统管理员的专利。但是普通用户使用“find”命令时也有可能遇到这样的问题，那就是Linux系统中系统管理员ROOT可以把某些文件目录设置成禁止访问模式。这样普通用户就没有权限用“find”命令来查询这些目录或者文件。当普通用户使用“find”命令来查询这些文件目录是，往往会出现"Permissiondenied."（禁止访问）字样。系统将无法查询到你想要的文件。为了避免这样的错误，我们可是使用转移错误提示的方法尝试着查找文件，输入
find / -name access_log 2>/dev/null
这个方法是把查找错误提示转移到特定的目录中去。系统执行这个命令后，遇到错误的信息就直接输送到stderrstream 2 中，access_log 2就是表明系统将把错误信息输送到stderrstream 2中，/dev/null是一个特殊的文件，表明空的或者错误的信息，这样查询到的错误信息将被转移了，不会再显示了。
在Linux系统查找文件也会遇到这样一个实际问题。如果我们在整个硬盘，这个系统中查找某个文件就要花费相当长的一段时间，特别是大型Linux系统和容量较大的硬盘，文件放在套嵌很深的目录中的时候。如果我们知道了这个文件存放在某个大的目录中，那么只要在这个目录中往下找就能节省很多时间了。使用find /etc -name httpd.conf 就可以解决这个问题。上面的命令就是表示在etc目录中查询httpd.conf这个文件。这里再说明一下“/ ”这个函数符号的含义，如果输入 “find/ ”就是表示要求Linux系统在整个ROOT目录下查找文件，也就是在整个硬盘上查找文件，而“find/etc”就是只在 etc目录下查找文件。因为“find/etc”表示只在etc目录下查找文件，所以查找的速度就相应要快很多了。
根据部分文件名查找方法：
这个方法和在WINDOWS中查找已知的文件名方法是一样的。不过在Linux中根据部分文件名查找文件的方法要比在WINDOWS中的同类查找方法要强大得多。例如我们知道某个文件包含有srm这3个字母，那么要找到系统中所有包含有这3个字母的文件是可以实现的，输入：
find /etc -name '*srm*'
这个命令表明了Linux系统将在/etc整个目录中查找所有的包含有srm这3个字母的文件，比如 absrmyz， tibc.srm等等符合条件的文件都能显示出来。如果你还知道这个文件是由srm 这3个字母打头的，那么我们还可以省略最前面的星号，命令如下：
find/etc -name 'srm*'
这是只有像srmyz 这样的文件才被查找出来，象absrmyz或者 absrm这样的文件都不符合要求，不被显示，这样查找文件的效率和可靠性就大大增强了。
根据文件的特征查询方法：
如果只知道某个文件的大小，修改日期等特征也可以使用“find”命令查找出来，这和WINDOWS系统中的"搜索"功能是基本相同的。在微软的"搜索"中WINDOWS中的"搜索助理"使得搜索文件和文件夹、打印机、用户以及网络中的其他计算机更加容易。它甚至使在Internet 上搜索更加容易。"搜索助理"还包括一个索引服务，该服务维护了计算机中所有文件的索引，使得搜索速度更快。使用"搜索助理"时，用户可以指定多个搜索标准。例如，用户可以按名称、类型及大小搜索文件和文件夹。用户甚至可以搜索包含特定文本的文件。如果用户正使用 Active Directory，这时还可以搜索带有特定名称或位置的打印机。
例如我们知道一个Linux文件大小为1,500 bytes，那么我们可是使用如下命令来查询find / -size 1500c，字符 c 表明这个要查找的文件的大小是以bytes为单位。如果我们连这个文件的具体大小都不知道，那么在Linux中还可以进行模糊查找方式来解决。例如我们输入find/ -size +10000000c 这个命令，则标明我们指定系统在根目录中查找出大于10000000字节的文件并显示出来。命令中的“＋”是表示要求系统只列出大于指定大小的文件，而使用“-”则表示要求系统列出小于指定大小的文件。下面的列表就是在Linux使用不同“ find"命令后系统所要作出的查找动作，从中我们很容易看出在Linux中使用“find"命令的方式是很多的，“ find"命令查找文件只要灵活应用，丝毫不必在WINDOWS中查找能力差。
find / -amin -10 # 查找在系统中最后10分钟访问的文件
find / -atime -2 # 查找在系统中最后48小时访问的文件
find / -empty # 查找在系统中为空的文件或者文件夹
find / -group cat # 查找在系统中属于 groupcat的文件
find / -mmin -5 # 查找在系统中最后5分钟里修改过的文件
find / -mtime -1 #查找在系统中最后24小时里修改过的文件
find / -nouser #查找在系统中属于作废用户的文件
find / -user fred #查找在系统中属于FRED这个用户的文件
下面的列表就是对find命令所可以指定文件的特征进行查找的部分条件。在这里并没有列举所有的查找条件，参考有关Linux有关书籍可以知道所有find命令的查找函数。
-amin n
查找系统中最后N分钟访问的文件
-atime n
查找系统中最后n*24小时访问的文件
-cmin n
查找系统中最后N分钟被改变状态的文件
-ctime n
查找系统中最后n*24小时被改变状态的文件
-empty
查找系统中空白的文件，或空白的文件目录，或目录中没有子目录的文件夹
-false
查找系统中总是错误的文件
-fstype type
查找系统中存在于指定文件系统的文件，例如：ext2 .
-gid n
查找系统中文件数字组 ID 为 n的文件
-group gname
查找系统中文件属于gnam文件组，并且指定组和ID的文件
Find命令的控制选项说明：
Find命令也提供给用户一些特有的选项来控制查找操作。下表就是我们总结出的最基本，最常用的find命令的控制选项及其用法。
选项
用途描述
-daystart
.测试系统从今天开始24小时以内的文件，用法类似-amin
-depth
使用深度级别的查找过程方式,在某层指定目录中优先查找文件内容
-follow
遵循通配符链接方式查找; 另外，也可忽略通配符链接方式查询
-help
显示命令摘要
-maxdepth levels
在某个层次的目录中按照递减方法查找
-mount
不在文件系统目录中查找， 用法类似 -xdev.
-noleaf
禁止在非UNUX文件系统，MS-DOS系统，CD-ROM文件系统中进行最优化查找
-version
打印版本数字
使用-follow选项后，find命令则遵循通配符链接方式进行查找，除非你指定这个选项，否则一般情况下find命令将忽略通配符链接方式进行文件查找。
-maxdepth选项的作用就是限制find命令在目录中按照递减方式查找文件的时候搜索文件超过某个级别或者搜索过多的目录，这样导致查找速度变慢，查找花费的时间过多。例如，我们要在当前(.)目录技巧子目录中查找一个名叫fred的文件，我们可以使用如下命令
find . -maxdepth 2 -name fred
假如这个fred文件在./sub1/fred目录中，那么这个命令就会直接定位这个文件，查找很容易成功。假如，这个文件在./sub1/sub2/fred目录中，那么这个命令就无法查找到。因为前面已经给find命令在目录中最大的查询目录级别为2，只能查找2层目录下的文件。这样做的目的就是为了让find命令更加精确的定位文件，如果你已经知道了某个文件大概所在的文件目录级数，那么加入-maxdepth n 就很快的能在指定目录中查找成功。
使用混合查找方式查找文件
find命令可以使用混合查找的方法，例如我们想在/tmp目录中查找大于100000000字节并且在48小时内修改的某个文件，我们可以使用-and 来把两个查找选项链接起来组合成一个混合的查找方式。
find /tmp -size +10000000c -and -mtime +2
学习过计算机语言的朋友都知道，在计算机语言里，使用and ,or 分别表示“与”和“或”的关系。在Linux系统的查找命令中一样通用。
还有这样的例子，
find / -user fred -or -user george
我们可以解释为在/tmp目录中查找属于fred或者george这两个用户的文件。
在find命令中还可以使用“非”的关系来查找文件，如果我们要在/tmp目录中查找所有不属于panda的文件，使用一个简单的
find /tmp ! -user panda
命令就可以解决了。很简单。
查找并显示文件的方法
查找到某个文件是我们的目的，我们更想知道查找到的文件的详细信息和属性，如果我们采取现查找文件，在使用LS命令来查看文件信息是相当繁琐的，现在我们也可以把这两个命令结合起来使用。
find / -name "httpd.conf" -ls
系统查找到httpd.conf文件后立即在屏幕上显示httpd.conf文件信息。
12063 34 -rw-r--r-- 1 root root 33545 Dec 30 15:36 /etc/httpd/conf/httpd.conf
下面的表格就是一些常用的查找文件并显示文件信息的参数和使用方法
选项
用途描述
-exec command;
查找并执行命令
-fprint file
打印文件完整文件名
-fprint0 file
打印文件完整文件名包括空的文件
-fprintf file format
打印文件格式
-ok command;
给用户命令执行操作，根据用户的Y 确认输入执行
-printf format
打印文件格式
-ls
打印同种文件格式的文件.

FIND的介紹- -

                                      

 

find 其實是一個很有用的工具，且常用的工具。

◎find - walk a file hierarchy 
          在一個檔案等級制度中遊走 顧名思義 也就是搜尋
◎語法: find  path  operators
                path:路徑  operators:運算子(參數)
          
◎operators: 常用的參數如下 (若有疑義請參閱man page 為準
               ★號表示重要...
       1. -atime n: 用檔案存取時間(access)為搜尋條件，n 為數字代表週期，
                     單位是24小時。
                    
         ★註解:     n不帶正負時，表示距今從目前這個週期到下個週期為止
                     n為負號時(-)，表示距今這個週期之前。
                     n為正號時(+)，表示距今大於這個週期的時間。
                    
                     舉例說明：
                     若n為3(不帶正負號)，表示距今72～96小時。
                     若n為-3(帶負號)，表示距今0~72小時內。
                     若n為+3(帶正號)，表示距今超過72小時，也就是>72小時。
      
       2. -mtime n: 用檔案修改時間(modification)為搜尋條件，n以24小時為週期。
      
       3. -ctime n: 用檔案inode更動時間為條件，n以24小時為週期。
      
       4. -inum  n: 用inode值來作為搜尋條件，n為該檔案的inode值。      
      
       5. -name  filename：後接檔案名稱，若包含"萬用字元"，則要括起來，
                           避免shell解讀之。
       6. -perm mode: 以存取權限為搜尋條件。        
      
       7. -user name: 以檔案的所有者為搜尋條件，用uid也可。
      
       8. -group name: 以檔案的群組為搜尋條件，用gid亦可。
       註：7.8 find會先用name搜尋，若找不到才試著用uid或gid搜尋
      
       9. -type t: t的代表的是檔案的類型，類型常用的如下：
                     d   -->  資料夾
                     f   -->  一般檔案
                     l   -->  符號連結檔
                    
      10. -size n: n表示區塊數，通常是512-byte bolck，
                 若n後接c (nc) 表示為n bytes。
                
    ★11. operator1 -a operator2: -a 等同於邏輯上的 AND  
         operator1 -o operator2: -o 等同於邏輯上的 OR
         ! operator1 : ! 等同於邏輯上的 NOT
         
        註： operator1 -a operator2 與 operator1 operator2
            是相同的...同樣代表當運算子1成立且運算子2成立
            
    ★12. /( expression /): 在複雜的情況下，括號表示先運算。
              加上反斜線/ 為的是不要讓shell誤判。   
                         
      13. -print: 將搜尋結果送到標準輸出stdout，一般來說也就是螢幕。
               註:最常用到 但也常被遺忘的參數。                        
     
    ★14. -exec command: 表示將搜尋的結果，再導入某一命令。
               註:搜尋出的結果可用兩個大括號{} 替代，命令後接 /; 表示結束。
           
            ex:將目前目錄 搜尋出檔案以.o結尾的檔案 刪除！！
               find . -name "*.o" -exec rm -f {} /;                    
              
    ★15. -maxdepth n: n 表示搜尋的深度。1表示目前這個資料夾。
   
    ★16. -ok command: -ok跟-exec相同，不過執行前會詢問。通常用來測試。
   
    ★17. -newer file: 比file修改(modification)的時間更早為搜尋條件   

◎實例應用:
      1.修改時間: 假設是此目錄 7天前(當天)修改過的檔案
                  find . -mtime 7 -print
                  find . -mtime +6 -mtime -8 -print
      2.檔案大小: 檔案介於於1000byte到32000byte之間
                      find . -size +1000c -size -32000c -print
     
    ★3.刪除某些詭異的檔案: 某些檔案因含有特殊字元而無法刪除，
                      find . -inum 31246 -exec rm -rf {} /;
                      註：31246為其inode值，可用 ls -i 察看..
     
    ★4.以精確的時間搜尋：搜尋2001年5月28日11時59分到2001年5月29日0時10分間所有的檔案
                      a. touch -t 200105281159 file1
                      b. touch -t 200105290010 file2
                      c. find . -newer file1 ! -newer file2 -print
                         如此就會搜尋出數個檔案 扣除file2的就是所得...
                        
    ★5.將檔案更名:把搜尋出來的更名為
                   find . -maxdepth 1 -name "*.o"  -exec mv {} {}.orig 
                   將檔名符合*.o的檔案名稱附加上.orig
                  
           ★註解：若您第五個無法執行的話也可以這樣做：
                  $ find . -maxdepth 1 -name "*.o" |
                   > while read file
                   > do mv "$file" "$file".orig
                   > done
                  
                   > 乃是換行後自動出現的提示符號...

    ★6.找到檔案中包含某字元的檔案:(此例為success)
                   find . -type f -exec "success" {} /dev/null /; 
           
            ★註解： 沒有加上 /dev/null 會產生無法得知搜符合尋結果檔案名稱的結果.
                     若加上/dev/null 則會讓 grep 每次搜尋兩個檔案,在搜尋結果產生檔名.
           
            當然了..若常用可以寫成script 如find2.
            if test $1
            then
            find . -type f -exec grep $1 /dev/null {} /;
            else
            echo "正確的語法為: ./find2 搜尋字詞 "
            fi
                    
◎重要觀念:
    ★1.搜尋參數 都是find懂的常規表示法，若表示法為真，就執行一些設定好的動作。
     
    ★2.括號中的先運算: -atime +5 /( -name "*.o" -o -name "*.tmp" /)
                        表示搜尋 存取時間大於5天 且(名稱為*.o或是*.tmp)的檔案        
                       
      3.規則式中兩個運算子間若用空白隔開表示 -a 也就是AND
     
    ★4.find任務就是判定整個運算式，而不是找到檔案，
        當然，會找到檔案，但那只是一個副作用。
       
      5.儘量不要搜尋NFS檔案，因為萬一NFS server 掛了，會讓整個搜尋停頓。
        可以用-maxdepth 或 -prune 限制                
                
◎困難排除:
    ★xargs的使用:
      有時您會遇到向下面這種情況...語法無誤 但卻無法顯示
      find / -print | ls -al     顯示根目錄下的所有檔案
      系統會直接出現Broken pine 然後就結束了...
      或是出現too many argument ..則表示輸出超出指令列上的長度。
      這時就要用到xargs了...整個命令列如下
      find / -print | xargs ls -al
      結果就會很順利的出現..因為xargs將輸入一個一個依序輸出，
      而非一次全部。
     
      說明:xargs看似無用,卻有意想不到的功用喔.

 

- 作者： netsec 2005年01月8日, 星期六 18:45