【应急响应】Find命令使用注意项

应急中很常用的一个命令就是Find,用于查找Web目录下最近修改的文件。

比如24小时内,就可用find / -mtime 0

find . –mtime n中的n指的是24*n, +n、-n、n分别表示:
+n: 大于n
-n: 小于n
n:等于n
find . –mtime n:
最后一次修改发生在距离当前时间n*24小时至(n+1)*24 小时
例如要查找24小时内被修改的JSP文件:

find ./ -mtime 0 -name "*.jsp"

搜索的是0*24~(0+1)*24小时内修改的文件
例如:
1)

[root@advc tmp]# ll *.txt
-rw-r--r-- 1 root root 446 Jan 13 11:42 logsincedb.txt
-rw-r--r-- 1 root root 1 Jan 12 17:36 secsincedb.txt
[root@advc tmp]# date
Fri Jan 13 11:42:21 CST 2017
[root@advc tmp]# find ./ -mtime 0 -name "*.txt"
./secsincedb.txt
./logsincedb.txt

2)

[root@advc tmp]# ll *.tmp
-rw-rw-r-- 1 admin admin 80909 Jan 10 14:08 jffi1619659256978505049.tmp
-rw-rw-r-- 1 admin admin 80909 Jan 10 14:07 jffi1799619702401900336.tmp
-rw-rw-r-- 1 admin admin 80909 Jan 10 14:07 jffi3642432029129125175.tmp
-rw-rw-r-- 1 admin admin 80909 Jan 10 14:08 jffi9069777261360058030.tmp
[root@advc tmp]# date
Fri Jan 13 11:44:14 CST 2017
[root@advc tmp]# find ./ -mtime 2
./jffi1799619702401900336.tmp
./jffi1619659256978505049.tmp
./jffi3642432029129125175.tmp
./jffi9069777261360058030.tmp

搜索是的48~72小时内修改的文件。

find . –mtime +n:
最后一次修改发生在n+1天以前,距离当前时间为(n+1)*24小时或者更早
find . –mtime –n:
最后一次修改发生在n天以内,距离当前时间为n*24小时以内

查找24小时内被修改的JSP文件也可以用:
find ./ -mtime -1 -name “*.jsp”