Linux：find 命令用法简介

Linux 下 find 命令用于在目录结构中查找文件，同时还可以对查找结果进行指定的操作。Find 命令具有很强大的搜索功能，可以遍历整个文件系统。所以 find 命令很耗资源，有时候甚至会耗费很长时间，因此建议把它放在后台执行。Find 命令格式如下所示：

find pathname -options [-print -exec -ok …]

介绍一种简单易记的格式：

find <指定目录> <指定条件> <指定动作>

动作参数

• -exec 命令名称 {} \;

对符合条件的文件执行所给的 unix 命令，而不询问用户是否需要执行该命令。{}表示命令的参数即为所找到的文件，命令的末尾必须以“ \;”结束，”{}”和”\;”之间必须有一个空格。

• -ok 命令名称 {} \;

对符合条件的文件执行所给的 Linux 命令，与exec不同的是，它会询问用户是否需要执行该命令。

• -ls

详细列出所找到的所有文件。

• -fprintf 文件名

将找到的文件名写入指定文件。

• -print

在标准输出设备上显示查找出的文件名。

• -printf

格式的写法可考有关C语言的书。

命令选项

• -name

按照文件名查找文件。

• -perm

按照文件权限来查找文件。

• -prune

使用这一选项可以使find命令不在当前指定的目录中查找，如果同时使用-depth选项，那么-prune将被find命令忽略。

• -user

按照文件属主来查找文件。

• -group

按照文件所属的组来查找文件。

• -nogroup

查找无有效所属组的文件，即该文件所属的组在/etc/groups中不存在。

• -nouser

查找无有效属主的文件，即该文件的属主在/etc/passwd中不存在。

• -newer file1 ! file2

查找更改时间比文件file1新但比文件file2旧的文件。

• -regex pattern

文件名与正则表达式 pattern 匹配。这是对整个路径的匹配，不是搜索文件。例如，要匹配名为 ‘./fubar3’ 的文件，可以使用正则表达式 ‘.bar.’ 或者 ‘.*b.3’，但是不能用`b.*r3’。

• -type

查找某一类型的文件，诸如：

b - 块设备文件。
d - 目录。
c - 字符设备文件。
p - 管道文件。
l - 符号链接文件。
f - 普通文件

• -size n：

查找文件长度为n块的文件，带有c时表示文件长度以字节计。

• -depth

在查找文件时，首先查找当前目录中的文件，然后再在其子目录中查找。

• -fstype

查找位于某一类型文件系统中的文件，这些文件系统类型通常可以在配置文件/etc/fstab中找到，该配置文件中包含了本系统中有关文件系统的信息。

• -mount

在查找文件时不跨越文件系统mount点。

• -follow

如果find命令遇到符号链接文件，就跟踪至链接所指向的文件。

• -cpio

对匹配的文件使用cpio命令，将这些文件备份到磁带设备中。

• 时间控制

-mtime -n +n

按照文件的更改时间来查找文件， – n表示文件更改时间距现在n天以内，+ n表示文件更改时间距现在n天以前。find命令还有-atime和-ctime 选项，但它们都和-mtime选项一样，按照时间节点来查找文件，但也有一些区别：

-amin n   查找系统中最后N分钟访问的文件
-atime n  查找系统中最后n*24小时访问的文件
-cmin n   查找系统中最后N分钟被改变文件状态的文件
-ctime n  查找系统中最后n*24小时被改变文件状态的文件
-mmin n   查找系统中最后N分钟被改变文件数据的文件
-mtime n  查找系统中最后n*24小时被改变文件数据的文件

罗辑控制

• 罗辑与

expr1 -a expr2

expr1 -and expr2

查找同时满足条件 expr1 和 expr2 的文件，例如在整个系统中查找既没有属主又没有属组的文件：

find / -nogroup –a –nouser

• 罗辑或

expr1 -o expr2

expr1 -or expr2

查找满足条件 expr1 或者 expr2 的文件， 例如查找 tmp 目录下以 “.sh” 结尾或者以 “.log” 结尾的文件：

find /tmp -name “.sh” -o -name “.log”

• 罗辑非

-not expr

查找不满足条件 expr 的文件，例如查找 /tmp 目录下所属用户不是 root 的文件：

find /tmp -not -user root -exec ls -l {} \;

一些典型的应用

递归修改目录下的所有目录权限（只修改目录，不修改文件）

三种方式：

find path -type d -exec chmod 744{} \;    (这句的句末有分号)
find path -type d | xargs chmod 744
chmod 755 `find -type d`

递归修改目录下的所有普通文件的权限（只修改文件，不修改目录）

三种方式：

find path -type f -exec chmod 644 {} \;
find path -type f | xargs chmod 644
chmod 755 `find -type f`

递归删除所有执行类型的文件

例如，递归删除当前目录下的 .exe 普通文件：

find  . -name  '*.exe' -type  f -print -exec  rm -rf  {} \;

除了用 -exec 外，还可以利用管道来实现，例如递归删除当前目录下的 .deb 文件：

find . -name *.deb |xargs rm -rf

统计代码行数

find . -regex ".*\.\(py\|html\|js\|css\)$" | xargs wc -l

该命令可能在其他平台会失败，那么可以用 grep 来过滤文件：

wc -l `find $path | grep ".*\.\(py\|html\|js\|css\)$"`

统计某目录下的所有文件个数（包含子目录）

首先应该想到的方法便是使用 find 命令，如下：

[root@ikeepstudying]# find ./ -type f | wc -l
#55490

然后还看到这样不那么直接, 使用 grep 命令来查找并统计，如下：

[root@ikeepstudying]# ls -lR | grep "^-" | wc -l
#55489

上面统计的数目为什么相差 1，现在还没想明白。

称动当前目录的 test.log 文件 到 /tmp 目录下

[root@ikeepstudying]# find ./ -type f -iname "test.log" -exec ls -l  {} \;
-rw-r--r-- 1 root root 27 Mar 21 15:23 ./test.log

# 注意 -exec 写法，经常以为是两个"-"
[root@ikeepstudying]# find ./ -type f -iname "test.log" -exec mv {} /tmp/ \; 
[root@ikeepstudying]# ll /root/test.log /tmp/test.log 
ls: cannot access /root/test.log: No such file or directory
-rw-r--r-- 1 root root 27 Mar 21 15:23 /tmp/test.log

查找时间

find 命令有几个用于根据您系统的时间戳搜索文件的选项。这些时间戳包括

• mtime — 文件内容上次修改时间
• atime — 文件被读取或访问的时间
• ctime — 文件状态变化时间

mtime 和 atime 的含义都是很容易理解的，而 ctime 则需要更多的解释。由于 inode 维护着每个文件上的元数据，因此，如果与文件有关的元数据发生变化，则 inode 数据也将变化。这可能是由一系列操作引起的，包括创建到文件的符号链接、更改文件权限或移动了文件等。由于在这些情况下，文件内容不会被读取或修改，因此 mtime 和 atime 不会改变，但 ctime 将发生变化。

这些时间选项都需要与一个值 n 结合使用，指定为 -n、n 或 +n。

• -n 返回项小于 n
• +n 返回项大于 n
• n 返回项正好与 n 相等

下面，我们来看几个例子，以便于理解。以下命令将查找在最近 1 小时内修改的所有文件：

find . -mtime -1
./plsql/FORALLSample
./plsql/RegExpDNASample
/plsql/RegExpSample

用 1 取代 -1 运行同一命令将查找恰好在 1 小时以前修改的所有文件：

find . -mtime 1

上述命令不会生成任何结果，因为它要求完全吻合。以下命令查找 1 个多小时以前修改的所有文件：

find . -mtime +1

默认情况下，-mtime、-atime 和 -ctime 指的是最近 24 小时。但是，如果它们前面加上了开始时间选项，则 24 小时的周期将从当日的开始时间算起。您还可以使用 mmin、amin 和 cmin 查找在不到 1 小时的时间内变化了的时间戳。

如果您在登录到您的帐户后立即运行以下命令，您将找到在不到 1 分钟以前读取的所有文件：

find . -amin -1
./.bashrc
/.bash_history
./.xauthj5FCx1

应该注意的是，使用 find 命令查找文件本身将更改该文件的访问时间作为其元数据的一部分。

您还可以使用 -newer、-anewer 和 –cnewer 选项查找已修改或访问过的文件与特定的文件比较。这类似于 -mtime、-atime 和 –ctime。

• -newer 指内容最近被修改的文件
• -anewer 指最近被读取过的文件
• -cnewer 指状态最近发生变化的文件

要查找您的主目录中自上一个 tar 文件以来以某种方式编辑过的所有文件，使用以下命令：

find . -newer  backup.tar.gz

按大小查找文件

-size 选项查找满足指定的大小条件的文件。要查找所有大于 5MB 的用户文件，使用

find / -size  +5000000c 2> /dev/null
/var/log/lastlog
/var/log/cups/access_log.4
/var/spool/mail/bluher

结尾的“c”以字节为单位报告我们的结果。默认情况下，find 以 512 字节块的数量报告大小。如果我们将“c”替换为“k”，我们还会看到以千字节的数量报告的结果，如果使用“w”，则会看到以两字节字的数量报告的结果。

-size 选项经常用于搜索所有零字节文件并将它们移至 /tmp/zerobyte 文件夹。以下命令恰好可以完成这一任务：

find test -type f  -size 0 -exec mv {} /tmp/zerobyte \;

-exec 操作允许 find 在它遇到的文件上执行任何 shell 命令。在本文的后面部分，您将看到其用法的更多示例。大括号允许移动每个空文件。

选项 -empty 还可用于查找空文件：

find test -empty        
test/foo
test/test

按权限和所有者查找

要监视您的系统安全离不开 find 命令。您可以使用符号或八进制表示法查找面向广大用户开放的文件，如下所示：

find . -type f  -perm a=rwx -exec ls -l {} \;

或者

find . -type f  -perm 777 -exec ls -l {} \;
-rwxrwxrwx 1 bluher  users 0 May 24 14:14 ./test.txt

在这一部分中，在上面和下面的命令中，我们使用了 -exec ls -l 操作，因此，您可以看到返回的文件的实际权限。以下命令将查找可由“other”和组写入的文件：

find plsql -type f  -perm -ug=rw -exec ls -l {} \; 2>/dev/null

或者

find plsql -type f  -perm -220 -exec ls -l {} \; 2>/dev/null 
-rw-rw-rw- 1 bluher users 4303  Jun  7   2004 plsql/FORALLSample/doc/otn_new.css
-rw-rw-rw- 1 bluher users 10286 Jan  12  2005  plsql/FORALLSample/doc/readme.html
-rw-rw-rw- 1 bluher users 22647 Jan  12  2005  plsql/FORALLSample/src/config.sql
..

下一个命令将查找由用户、组或二者共同写入的文件：

find plsql -type f  -perm /ug=rw -exec ls -l {} \; 2>/dev/null, or,
find plsql -type f  -perm /220 -exec ls -l {} \; 2>/dev/null 
-rw-r--r-- 1 bluher users 21473  May  3 16:02 plsql/regexpvalidate.zip
-rw-rw-rw- 1 bluher users 4303  Jun  7   2004 plsql/FORALLSample/doc/otn_new.css
-rw-rw-rw- 1 bluher users 10286 Jan  12  2005  plsql/FORALLSample/doc/readme.html
-rw-rw-rw- 1 bluher users 22647 Jan  12  2005  plsql/FORALLSample/src/config.sql

您可能会看到以下命令在 Web 和较早的手册中引用过：

find . -perm +220  -exec ls -l {} \; 2> /dev/null

+ 符号的作用与 / 符号相同，但是现在新版 GNU findutils 中不支持使用该符号。

要查找您的系统上所有人都可以写入的所有文件，使用以下命令：

find / -wholename  '/proc' -prune  -o  -type f -perm -0002 -exec ls -l {} \;
-rw-rw-rw- 1 bluher users 4303  Jun  7   2004/home/bluher/plsql/FORALLSample/doc/otn_new.css
-rw-rw-rw- 1 bluher users 10286 Jan  12  2005  /home/bluher/plsql/FORALLSample/doc/readme.html
...

第 4 个权限将在稍后进行讨论，但最后一个字段中的“2”是文件权限中的“other”字段，也称为写入位。我们在权限模式 0002 前面使用了破折号，以指明我们希望看到为 other 设置了写权限的文件，无论其他权限设置为什么。

上述命令还引入了三个新概念。针对文件模式“/proc”使用 -wholename 测试，如果该模式已找到，-prune 可防止 find 下到该目录中。布尔类型“-o”使 find 可以针对其他目录处理该命令的其余部分。由于每个表达式之间有一个假设的隐式 and 运算符 (-a)，因此，如果左侧的表达式计算结果为 false， and 之后的表达式将不进行计算；因此需要 -o 运算符。Find 还支持布尔类型 -not、!，就像使用括号强行优先一样。

系统管理员经常使用 find 通过用户或组的名称或 ID 搜索特定用户或组的常规文件：

[root] $  find / -type f -user bluher -exec ls -ls {}  \;

下面是这样一个命令的高度精简的输出示例：

4 -rw-r--r-- 1 bluher users 48  May  1 03:09  /home/bluher/public_html/.directory
4 -rw-r--r-- 1 bluher users 925  May  1 03:09 /home/bluher/.profile

您还可以使用 find 按组查找文件：

[root] $ find /  -type f -group users
find / -type d -gid  100

该命令将列出由 ID 为 100 的组拥有的目录。要找到相应的 uid 或 gid，您可以针对 /etc/passwd 或 /etc/group 文件运行 more 或 cat 命令。

除了查找特定已知用户和组的文件外，您还会发现它对于查找没有这些信息的文件也很有用。下一个命令将识别未列在 /etc/passwd 或 /etc/group 文件中的文件：

find / -nouser -o  -nogroup

上述命令可能不会在您的系统上生成实际的结果。但是，它可用于识别或许在经常移动后没有用户或组的文件。

好了，现在我们可以解决本部分开始时提到的格外重要的权限了。

SGID 和 SUID 是特殊访问权限标志，可以分配给基于 UNIX 的操作系统上的文件和目录。设置它们是为了允许访问计算机系统的普通用户使用临时提升的权限执行二进制可执行文件。

find /  \( -perm -2000 -o -perm -4000 \) -ls
167901   12 -rwsr-xr-x   1 root     root         9340 Jun 16  2006 /usr/bin/rsh
167334   12 -rwxr-sr-x   1 root     tty         10532 May  4  2007 /usr/bin/wall

在上述命令中，您可以看到转义括号的使用。您还可以看到权限的不同。第一个文件设置了 SGID 权限，第二个文件设置了 SUID 权限。上述命令中的最后的操作与带 -exec ls -dils 操作的 find 效果类似。

控制 find

与 Linux 中的许多命令不同，find 不需要 -r 或 -R 选项即可下到子目录中。它默认情况下就这样操作。但是，有时您可能希望限制这一行为。因此，选项 -depth、-maxdepth 和 -mindepth 以及操作 -prune 就派上用场了。

我们已经看到了 -prune 是多么有用，下面让我们来看看 -depth、-maxdepth 和 -mindepth 选项。

-maxdepth 和 -mindepth 选项允许您指定您希望 find 搜索深入到目录树的哪一级别。如果您希望 find 只在目录的一个级别中查找，您可以使用 maxdepth 选项。

通过运行以下命令在目录树的前三个级别中查找日志文件，您可以看到 -maxdepth 的效果。使用该选项较之不使用该选项所生成的输出要少得多。

find / -maxdepth 3  -name "*log"

您还可以让 find 在至少下至目录树三个级别的目录中查找：

find / -mindepth 3  -name "*log"

-depth 选项确保先在一个目录中进行查找，然后才在其子目录中进行查找。以下命令提供了一个示例：

find -name "*test*" -depth
./test/test
./test
./localbin/test
./localbin/test_shell_var
./localbin/test.txt
./test2/test/test
./test2/test
./test2

更多参考：

Linux: chmod 和 chown用法小结

linux: 批量修改文件夹及文件夹下文件的名字

Linux 批量修改文件夹、文件的权限和所有者(chmod, chown)

本文：Linux：find 命令用法简介