Linux centos7 find 命令

2021-08-13

1. 命令简介

 find 命令用来在指定目录下查找文件。任何位于参数之前的字符串都将被视为欲查找的目录名。如果使用该命令时，不设置任何参数，则 find 命令将在当前目录下查找子目录与文件。并且将查找到的子目录和文件全部进行显示。

# 语法
find path -option [-print] [-exec -ok |xargs |grep] [command  {} \;]

# 参数
1) path 要查找的目录路径

~ 表示 $HOME 目录
 . 表示当前目录
 / 表示根目录 

2) print 表示将结果输出到标准输出 
3) exec 对匹配的文件执行该参数所给出的 shell 命令

格式  command {} \;
注意  {}与\;之间有空格 

4) ok 与 exec 作用相同

区别：　　ok 在执行命令之前，都会给出提示，让用户确认是否执行 
    　　 exec 不会

5) |xargs  与exec作用相同 ，起承接作用

区别:　　|xargs 主要用于承接删除操作
    　　-exec  什么操作都可用，如复制、移动、重命名等

6) options  表示查找方式

常用的选项：
-name    filename        查找名为 filename 的文件,* 表示该文件夹下所有的文件
-perm　　　　　　　　　　　　按执行权限来查找
-user    username        按文件属主来查找
-group   groupname       按组来查找
-mtime   -n/+n           按文件更改时间来查找文件，-n 指 n 天之内；+n 指 n 天之前
-atime   -n/+n           按文件访问时间来查找文件，-n 指 n 天之内；+n 指 n 天之前
-ctime   -n/+n           按文件创建时间来查找文件，-n 指 n 天之内；+n 指 n 天之前
-nogroup                 查无有效属组的文件，即文件的属组在 /etc/groups 中不存在
-nouser                  查无有效属主的文件，即文件的属主在 /etc/passwd 中不存
-type    b/d/c/p/l/f     查是块设备、目录、字符设备、管道、符号链接、普通文件
-size    n[c]            查长度为 n 块[或 n 字节]的文件
-mount                   查文件时不跨越文件系统 mount 点
-follow                  如果遇到符号链接文件，就跟踪链接所指的文件
-prune                   忽略某个目录

2. find 命令 的三个参数
2.1 使用命令 stat 先看下文件或者目录的信息

# 查看 test/ 的信息
stat test/

从图中可以看到关于时间信息有三个：
1) 最近访问时间     access time （-atime）
2) 最近更改时间     modify time（-mtime）
3) 最近状态改动时间 change time（-ctime）；
也看到了 Birth 创建时间一项为空，说明 Linux 系统下是无法查看文件的创建时间的。

-atime, -ctime 和 -mtime 参数含义
atime: 代表最近一次访问文件的时间，显示一个文件的内容或者运行一个 shell 脚本会更新文件的 atime。可用 ls -lu 命令查看。
在 kernel 2.6.30 之前，文件系统默认会及时的更新 atime；此后版本，只有发生以下三种情况之一才会更新 atime。
1. 将分区 mount 的挂载的时候指定采用非 relatime 方式
2. atime 小于 ctime或者小于 mtime的时候
3. 本次的 access time 和上次的 atime 超过 24 个小时

mtime: 代表最近一次文件内容被修改的时间。可用 ls -l 命令查看。

ctime: 代表最近一次文件状态的改变时间，是 status change time，在写入文件、更改所有者、权限或链接设置时随 Inode 的内容更改而更改，
文件状态最后一次被改变的时间。可用 ls -lc 命令查看。

2.2 -mtime 参数详解
在 linux 环境中经常会用到 find -mtime 来找某时间点之前的文件，并在此基础上进行处理（如定期删除过期文件）

如何更好的理解find -mtime n/+n/-n，这里小结下：
-mtime n   n 为数字，意思为在 n 天之前的 “一天之内” 被更改过内容的文件
-mtime +n  列出在 n 天之前（不含 n 天本身）被更改过内容的文件名
-mtime -n  列出在 n 天之内（包含 n 天本身）被更改过内容的文件名

例如：
-mtime 0   0 代表目前时间，所以，从现在开始到 24h 前，有改动过内容的文件都会被列出来
-mtime 1   表示文件修改时间距离今天为 1 天的文件，即距离当前时间 1 天（24h－48h）的文件

-mtime +1 表示文件修改时间为大于 1 天的文件，即距离当前时间 2 天（48h）之外的文件
-mtime -1  表示文件修改时间为小于 1 天的文件，即距离当前时间 1 天（24h）之内的文件

为什么 -mtime +1 表示文件修改时间为大于 1 天的文件，即距离当前时间 48h 之外的文件，而不是 24h 之外的呢？
因为 n 只能是整数，而 +1 即表示 n+1 ，故 -mtime +1 是修改时间大于两天的文件。
例：   find /test/data/ -mtime +1 -name '*' -exec rm -rf {} \; 
该命令本意是将所有修改时间大于一天的文件都删除，但是因为 n 需为整数，并且 +1 代表大于 1，因此保留了两天的文件

3. 实例

# 将当前目录及其子目录下所有文件后缀为 .c 的文件列出来:
find . -name "*.txt"

# 将当前目录及其子目录中的所有文件列出：
find . -type f

# 将当前目录及其子目录下所有最近 20 天内更新过的文件列出:
find . -ctime -1

# 查找 test/ 目录中更改时间在 3 日以前的普通文件，并在删除之前询问它们：
find test/ -type f -mtime +3 -ok rm {} \;

# 查找当前目录中文件属主具有读、写权限，并且文件所属组的用户和其他用户具有读权限的文件：
find . -type f -perm 644 -exec ls -l {} \;

# 查找家目录中中所有文件长度为 0 的普通文件，并列出它们的完整路径：
find . -type f -size 0 -exec ls -l {} \;