使用find和xargs有時可能需要在系統中查找具有某一特征的文件(例如文件權限、文件屬主、文件長度、文件類型等等)。這樣做可能有很多原因。可能出于安全性的考慮,或是一般性的系統管理任務,或許只是為了找出一個不知保存在什么地方的文件。Find是一個非常有效的工具,它可以遍歷當前目錄甚至于整個文件系統來查找某些文件或目錄。
??在本章中,我們介紹以下內容:
? 1、 find命令選項。
? 2、用find命令不同選項的例子。
? 3、配合find使用xargs命令的例子。
??由于find具有如此強大的功能,所以它的選項也很多,其中大部分選項都值得我們花時間來了解一下。即使系統中含有網絡文件系統(NFS),find命令在該文件系統中同樣有效,只要你具有相應的權限。
??在運行一個非常消耗資源的find命令時,很多人都傾向于把它放在后臺執行,因為遍歷一個大的文件系統可能會花費很長的時間(這里是指30G字節以上的文件系統)。
??Find命令的一般形式為:
??find pathname??-options [-print -exec -ok]
??讓我們來看看該命令的參數:
??pathname find命令所查找的目錄路徑。例如用.來表示當前目錄,用/來表示系統根目錄。
??-print find命令將匹配的文件輸出到標準輸出。
??-exec find命令對匹配的文件執行該參數所給出的shell命令。相應命令的形式為'comm-
??and'{}\;,注意{}和\;之間的空格。
??-ok和-exec的作用相同,只不過以一種更為安全的模式來執行該參數所給出的shell命令,在執行每一個命令之前,都會給出提示,讓用戶來確定是否執行。
??

??2.1 find命令選項?
??

??find命令有很多選項或表達式,每一個選項前面跟隨一個橫杠-。讓我們先來看一下該命令的主要選項,然后再給出一些例子。
??-name按照文件名查找文件。
??-perm按照文件權限來查找文件。
??-prune使用這一選項可以使find命令不在當前指定的目錄中查找,如果同時使用了-depth選項,那么-prune選項將被find命令忽略。
??-user按照文件屬主來查找文件。
??-group按照文件所屬的組來查找文件。
??-mtime-n+n按照文件的更改時間來查找文件,-n表示文件更改時間距現在n天以內,+n表示文件更改時間距現在n天以前。Find命令還有-atime和-ctime選項,但它們都和-mtime選項相似,所以我們在這里只介紹-mtime選項。
??-nogroup查找無有效所屬組的文件,即該文件所屬的組在/etc/groups中不存在。
??-nouser查找無有效屬主的文件,即該文件的屬主在/etc/passwd中不存在。
??-newerfile1!file2查找更改時間比文件file1新但比文件file2舊的文件。
??-type查找某一類型的文件,諸如:
??b-塊設備文件。
??d-目錄。
??c-字符設備文件。
??p-管道文件。
??l-符號鏈接文件。
??f-普通文件。
??-sizen[c]查找文件長度為n塊的文件,帶有c時表示文件長度以字節計。
??-depth在查找文件時,首先查找當前目錄中的文件,然后再在其子目錄中查找。
??-fstype查找位于某一類型文件系統中的文件,這些文件系統類型通常可以在配置文件/etc/fstab中找到,該配置文件中包含了本系統中有關文件系統的信息。
??-mount在查找文件時不跨越文件系統mount點。
??-follow如果find命令遇到符號鏈接文件,就跟蹤至鏈接所指向的文件。
??-cpio對匹配的文件使用cpio命令,將這些文件備份到磁帶設備中。
??

??2.1.1?使用name選項?
??

??文件名選項是find命令最常用的選項,要么單獨使用該選項,要么和其他選項一起使用。可以使用某種文件名模式來匹配文件,記住要用引號將文件名模式引起來。
??不管當前路徑是什么,如果想要在自己的根目錄$HOME中查找文件名符合*.txt的文件,使用~作為'pathname參數,波浪號~代表了你的$HOME目錄。
??$ find ~ -name??"*.txt" -print
??想要在當前目錄及子目錄中查找所有的‘*.txt’文件,可以用:
??$ find . -name??"*.txt" -print
??想要的當前目錄及子目錄中查找文件名以一個大寫字母開頭的文件,可以用:
??$ find . -name??"[A-Z]*" -print
??想要在/etc目錄中查找文件名以host開頭的文件,可以用:
??$ find /etc -name??"host*" -print
??想要查找$HOME目錄中的文件,可以用:
??$ find~-name"*"-printfind.-print
??要想讓系統高負荷運行,就從根目錄開始查找所有的文件。如果希望在系統管理員那里保留一個好印象的話,最好在這么做之前考慮清楚!
??$ find / -name??"*" -print
??如果想在當前目錄查找文件名以兩個小寫字母開頭,跟著是兩個數字,最后是*.txt的文件,下面的命令就能夠返回名為ax37.txt的文件:
??$ find . -name??"[a-z][a-z][0--9][0--9].txt" -print
??

??2.1.2使用perm選項?
??

??如果希望按照文件權限模式來查找文件的話,可以采用-perm選項。你可能需要找到所有用戶都具有執行權限的文件,或是希望查看某個用戶目錄下的文件權限類型。在使用這一選項的時候,最好使用八進制的權限表示法。
??為了在當前目錄下查找文件權限位為755的文件,即文件屬主可以讀、寫、執行,其他用戶可以讀、執行的文件,可以用:
??$ find . -perm??755 -print
如果希望在當前目錄下查找所有用戶都可讀、寫、執行的文件(要小心這種情況),我們可以使用find命令的-perm選項。在八進制數字前面要加一個橫杠-。在下面的命令中-perm代表按照文件權限查找,而‘007’和你在chmod命令的絕對模式中所采用的表示法完全相同。
??$ find . -perm??-007 -print
??

??2.1.3忽略某個目錄?
??

??如果在查找文件時希望忽略某個目錄,因為你知道那個目錄中沒有你所要查找的文件,那么可以使用-prune選項來指出需要忽略的目錄。在使用-prune選項時要當心,因為如果你同時使用了-depth選項,那么-prune選項就會被find命令忽略。
??如果希望在/apps目錄下查找文件,但不希望在/apps/bin目錄下查找,可以用:
??$ find /apps -name??"/apps/bin" -prune -o -print
??

??2.1.4使用user和nouser選項?
??

??如果希望按照文件屬主查找文件,可以給出相應的用戶名。例如,在$HOME目錄中查找文件屬主為dave的文件,可以用:
??$ find ~ -user??dave -print
??在/etc目錄下查找文件屬主為uucp的文件:
??$ find /etc -user??uucp -print
為了查找屬主帳戶已經被刪除的文件,可以使用-nouser選項。這樣就能夠找到那些屬主在/etc/passwd文件中沒有有效帳戶的文件。在使用-nouser選項時,不必給出用戶名;find命令能夠為你完成相應的工作。例如,希望在/home目錄下查找所有的這類文件,可以用:
??$ find /home -nouser??-print
??

??2.1.5使用group和nogroup選項?
??

??就像user和nouser選項一樣,針對文件所屬于的用戶組,find命令也具有同樣的選項,為了在/apps目錄下查找屬于accts用戶組的文件,可以用:
??$ find /apps -group??accts -print
??要查找沒有有效所屬用戶組的所有文件,可以使用nogroup選項。下面的find命令從文件系統的根目錄處查找這樣的文件
??$ find / -nogroup??-print
??

??2.1.6按照更改時間查找文件?
??

如果希望按照更改時間來查找文件,可以使用mtime選項。如果系統突然沒有可用空間了,很有可能某一個文件的長度在此期間增長迅速,這時就可以用mtime選項來查找這樣的文件。用減號-來限定更改時間在距今n日以內的文件,而用加號+來限定更改時間在距今n日以前的文件。
??希望在系統根目錄下查找更改時間在5日以內的文件,可以用:
??$ find/-mtime-5-print
??為了在/var/adm目錄下查找更改時間在3日以前的文件,可以用:
??$ find /var/adm??-mtime +3 -print
??

??2.1.7查找比某個文件新或舊的文件?
??

??如果希望查找更改時間比某個文件新但比另一個文件舊的所有文件,可以使用-newer選項。它的一般形式為:
??newest_file_name??! oldest_file_name
??其中,!是邏輯非符號。
??這里有兩個文件,它們的更改時間大約相差兩天。
??-rwxr-x-r-x? ???1 root? ???root? ?? ???92? ? Apr??18 11:18? ?? ?? ?age.awk
??-rwxrwxr-x? ???1 root? ???root? ?1045? ? Apr 20 19:37? ?? ?? ?belts.awk
??下面給出的find命令能夠查找更改時間比文件age.awk新但比文件belts.awk舊的文件:
??$ find . -newer age.awk ! -newer belts.awk -exec ls -l??{} \;
??-rwxrwxr-x? ???1 root? ???root? ?? ???62? ? Apr??18 11:32? ?? ?? ?./who.awk
??-rwxr-xr-x? ?? ?1 root? ???root? ?? ???49? ? Apr??18 12:05? ?? ?? ?./group.awk
??-rw-r--r--? ?? ?? ?? ???1 root? ???root? ? 201? ? Apr??20 19:30? ?? ?? ?./grade2.txt
??-rwxrwxr-x? ???1 root? ???root? ?1054? ? Apr 20 19:37? ?? ?? ?./belts.awk
如果想使用find命令的這一選項來查找更改時間在兩個小時以內的文件,除非有一個現成的文件其更改時間恰好在兩個小時以前,否則就沒有可用來比較更改時間的文件。為了解決這一問題,可以首先創建一個文件并將其日期和時間戳設置為所需要的時間。這可以用touch命令來實現。
??假設現在的時間是23:40,希望查找更改時間在兩個小時以內的文件,可以首先創建這樣一個文件:
??$ touch -t 05042140 dstamp
??-rw-r--r--? ?? ?? ?? ???1 dave? ? admin? ???0? ???May 4??21:40? ?? ???dstamp
??一個符合要求的文件已經被創建;這里我們假設今天是五月四日,而該文件的更改時間是21:40,比現在剛好早兩個小時。
??現在我們就可以使用find命令的-newer選項在當前目錄下查找所有更改時間在兩個小時以內的文件:
??$find . -newer??dstamp -print
??

??2.1.8使用type選項?
??

??UNIX或LINUX系統中有若干種不同的文件類型,這部分內容我們在前面的章節已經做了介紹,這里就不再贅述。如果要在/etc目錄下查找所有的目錄,可以用:
??$find /etc -type??d -print
??為了在當前目錄下查找除目錄以外的所有類型的文件,可以用:
??$find . ! -type??d -print
??為了在/etc目錄下查找所有的符號鏈接文件,可以用:
??$find /etc -type??l -print
??

??2.1.9使用size選項?
??

??可以按照文件長度來查找文件,這里所指的文件長度既可以用塊(block)來計量,也可以用字節來計量。以字節計量文件長度的表達形式為Nc;以塊計量文件長度只用數字表示即可。
??就我個人而言,我總是使用以字節計的方式,在按照文件長度查找文件時,大多數人都喜歡使用這種以字節表示的文件長度,而不用塊的數目來表示,除非是在查看文件系統的大
??小,因為這時使用塊來計量更容易轉換。
??為了在當前目錄下查找文件長度大于1M字節的文件,可以用:
??$find . -size??+1000000c -print
??為了在/home/apache目錄下查找文件長度恰好為100字節的文件,可以用:
??$find /home /apache??-size 100c -print
??為了在當前目錄下查找長度超過10塊的文件(一塊等于512字節),可以用:
??$find . -size??+10 -print
??

??2.1.10使用depth選項?
??

??在使用find命令時,可能希望先匹配所有的文件,再在子目錄中查找。使用depth選項就可以使find命令這樣做。這樣做的一個原因就是,當在使用find命令向磁帶上備份文件系統時,希望首先備份所有的文件,其次再備份子目錄中的文件。
??在下面的例子中,find命令從文件系統的根目錄開始,查找一個名為CON.FILE的文件。它將首先匹配所有的文件然后再進入子目錄中查找。
??$find / -name??"CON.FILE" -depth -print
??2.1.11使用mount選項?
??在當前的文件系統中查找文件(不進入其他文件系統),可以使用find命令的mount選項。在下面的例子中,我們從當前目錄開始查找位于本文件系統中文件名以XC結尾的文件:
??$find . -name??"*.XC" -mount -print
??2.1.12使用cpio選項?
??cpio命令可以用來向磁帶設備備份文件或從中恢復文件。可以使用find命令在整個文件系統中(更多的情況下是在部分文件系統中)查找文件,然后用cpio命令將其備份到磁帶上。
??如果希望使用cpio命令備份/etc、/home和/apps目錄中的文件,可以使用下面所給出的命令,不過要記住你是在文件系統的根目錄下:
??$ cd /
??$ find etc home apps -depth -print | cpio -ivcdC65536??-o /dev/rmt0
??(在上面的例子中,第一行末尾的\告訴shell命令還未結束,忽略\后面的回車。)
在上面的例子中,應當注意到路徑中缺少/。這叫作相對路徑。之所以使用相對路徑,是因為在從磁帶中恢復這些文件的時候,可以選擇恢復文件的路徑。例如,可以將這些文件先恢復到另外一個目錄中,對它們進行某些操作后,再恢復到原始目錄中。如果在備份時使用了絕對路徑,例如/etc,那么在恢復時,就只能恢復到/etc目錄中去,別無其他選擇。在上面的例子中,我告訴find命令首先進入/etc目錄,然后是/home和/apps目錄,先匹配這些目錄下的文件,然后再匹配其子目錄中的文件,所有這些結果將通過管道傳遞給cpio命令進行備份。
??順便說一下,在上面的例子中cpio命令使用了C65536選項,我本可以使用B選項,不過這樣每塊的大小只有512字節,而使用了C65536選項后,塊的大小變成了64K字節(65536/1024)。
??

??2.1.13使用exec或ok來執行shell命令?
??

當匹配到一些文件以后,可能希望對其進行某些操作,這時就可以使用-exec選項。一旦find命令匹配到了相應的文件,就可以用-exec選項中的命令對其進行操作(在有些操作系統中只允許-exec選項執行諸如ls或ls-l這樣的命令)。大多數用戶使用這一選項是為了查找舊文件并刪除它們。這里我強烈地建議你在真正執行rm命令刪除文件之前,最好先用ls命令看一下,確認它們是所要刪除的文件。
??exec選項后面跟隨著所要執行的命令,然后是一對兒{},一個空格和一個\,最后是一個分號。
??為了使用exec選項,必須要同時使用print選項。如果驗證一下find命令,會發現該命令只輸出從當前路徑起的相對路徑及文件名。
??為了用ls-l命令列出所匹配到的文件,可以把ls-l命令放在find命令的-exec選項中,例如:
??$ find . -type f -exec ls-l {} \;
??-rwxr-xr-x? ?? ?10 root? ?wheel? ?? ?? ?? ?1222? ?? ? Jan??4? ???1993? ?? ? ./sbin/C80
??-rwxr-xr-x? ?? ?10 root? ?wheel? ?? ?? ?? ?1222? ?? ? Jan??4? ???1993? ?? ? ./sbin/Normal
??-rwxr-xr-x? ?? ?10 root? ?wheel? ?? ?? ?? ?1222? ?? ? Jan??4? ???1993? ?? ? ./sbin/Revvid
??上面的例子中,find命令匹配到了當前目錄下的所有普通文件,并在-exec選項中使用ls-l命令將它們列出。
??為了在/logs目錄中查找更改時間在5日以前的文件并刪除它們,可以用:
??$ find logs -type??f -mtime +5 -exec rm {} \;
??記住,在shell中用任何方式刪除文件之前,應當先查看相應的文件,一定要小心!
??當使用諸如mv或rm命令時,可以使用-exec選項的安全模式。它將在對每個匹配到的文件進行操作之前提示你。在下面的例子中,find命令在當前目錄中查找所有文件名以.LOG結尾、更改時間在5日以上的文件,并刪除它們,只不過在刪除之前先給出提示。
??$ find . -name “*.LOG” -mtime +5 -ok rm {} \;
??<rm??… ./nets.LOG> ?y
??按y鍵刪除文件,按n鍵不刪除。
任何形式的命令都可以在-exec選項中使用。在下面的例子中我們使用grep命令。find命令首先匹配所有文件名為“passwd*”的文件,例如passwd、passwd.old、passwd.bak,然后執行grep命令看看在這些文件中是否存在一個rounder用戶。
??$ find /etc -name “passwd*” -exec grep “rounder” {} \;
??rounder:JL9TtUqk8EHwc:500:500::/home/apps/nets/rounder:/bin/sh
??

??2.1.14find命令的例子?
??

??我們已經介紹了find命令的基本選項,下面給出find命令的一些其他的例子。
??為了匹配$HOME目錄下的所有文件,下面兩種方法都可以使用:
??$ find $HOME -print
??$ find ~ -print
??為了在當前目錄中查找suid置位,文件屬主具有讀、寫、執行權限,并且文件所屬組的用戶和其他用戶具有讀和執行的權限的文件,可以用:
??$ find . -type??f -perm 4755 -print
??為了查找系統中所有文件長度為0的普通文件,并列出它們的完整路徑,可以用:
??$ find / -type??f -size 0 -exec ls-l {} \;
??為了查找/var/logs目錄中更改時間在7日以前的普通文件,并刪除它們,可以用:
??$ find /var/logs??-type f -mtime +7 -exec rm {} \;
??為了查找系統中所有屬于audit組的文件,可以用:
??$ find / -name??-group audit -print
我們的一個審計系統每天創建一個審計日志文件。日志文件名的最后含有數字,這樣我們一眼就可以看出哪個文件是最新的,哪個是最舊的。Admin.log文件編上了序號:admin.log.001、admin.log.002等等。下面的find命令將刪除/logs目錄中訪問時間在7日以前、含有數字后綴的admin.log文件。該命令只檢查三位數字,所以相應日志文件的后綴不要超過999。
??$ find / logs??-name 'admin.log[0-9][0-9]' [-0a-t9i]me??+7 -exec rm {} \;
??為了查找當前文件系統中的所有目錄并排序,可以用:
??$ find . -type??d -print -local -mount | sort
??為了查找系統中所有的rmt磁帶設備,可以用:
??$ find /dev/rmt??-print
??

??2.2xargs
??

在使用find命令的-exec選項處理匹配到的文件時,find命令將所有匹配到的文件一起傳遞給exec執行。不幸的是,有些系統對能夠傳遞給exec的命令長度有限制,這樣在find命令運行幾分鐘之后,就會出現溢出錯誤。錯誤信息通常是“參數列太長”或“參數列溢出”。這就是xargs命令的用處所在,特別是與find命令一起使用。Find命令把匹配到的文件傳遞給xargs命令,而xargs命令每次只獲取一部分文件而不是全部,不像-exec選項那樣。這樣它可以先處理最先獲取的一部分文件,然后是下一批,并如此繼續下去。在有些系統中,使用-exec選項會為處理每一個匹配到的文件而發起一個相應的進程,并非將匹配到的文件全部作為參數一次執行;這樣在有些情況下就會出現進程過多,系統性能下降的問題,因而效率不高;而使用xargs命令則只有一個進程。另外,在使用xargs命令時,究竟是一次獲取所有的參數,還是分批取得參數,以及每一次獲取參數的數目都會根據該命令的選項及系統內核中相應的可調參數來確定。
??讓我們來看看xargs命令是如何同find命令一起使用的,并給出一些例子。
??下面的例子查找系統中的每一個普通文件,然后使用xargs命令來測試它們分別屬于哪類文件:
??$ find / -type f -print | xargs file
??/etc/protocols:??Enghlish text
??/etc/securetty:??ASCII test
??
??下面的例子在整個系統中查找內存信息轉儲文件(coredump),然后把結果保存到/tmp/core.log文件中:
??$ find . -name??"core" -print | xargs echo "" >/tmp/core.log
??下面的例子在/apps/audit目錄下查找所有用戶具有讀、寫和執行權限的文件,并收回相應的寫權限:
??$ find /apps/audit??-perm -7 -print | xargs chmod o -w
??在下面的例子中,我們用grep命令在所有的普通文件中搜索device這個詞:
??$ find / -type??f -print | xargs grep "device"
??在下面的例子中,我們用grep命令在當前目錄下的所有普通文件中搜索DBO這個詞:
??$ find . -name?*\ -type f -print??| xargs grep "DBO"
??注意,在上面的例子中,\用來取消find命令中的*在shell中的特殊含義。
??

??2.3小結?
??

??find命令是一個非常優秀的工具,它可以按照用戶指定的準則來匹配文件。使用exec和xargs可以使用戶對所匹配到的文件執行幾乎所有的命令。