我甚至不确定这是否容易实现,但我想列出最近从目录中删除的文件(如果可能,递归地)。
我正在寻找一种解决方案,它不需要创建包含原始目录结构快照的临时文件来进行比较,因为可能并不总是有写入权限。编辑:如果可以通过将快照存储在shell变量而不是文件中来实现相同的结果,那就可以解决我的问题。
类似这样的东西:
find /some/directory -type f -mmin -10 -deletedFilesOnly
编辑:操作系统:我使用的是Ubuntu 14.04 LTS,但是命令很可能在各种Linux盒子或Docker容器中运行,其中大多数或全部应该使用ext4,我很可能无法访问以进行修改。
您可以使用debugfs实用程序,
debugfs是一个简单易用、专门设计用于调试的基于RAM的文件系统。
首先,在终端中运行debugfs /dev/hda13(将/dev/hda13替换为您自己的磁盘/分区)。
(注意:您可以通过在终端中运行df /来查找您的磁盘名称。)
进入调试模式后,您可以使用命令lsdel列出与已删除文件对应的inode。
当在Linux中删除文件时,它们仅被取消链接,但它们的inode(实际存在文件的磁盘地址)未被删除。
要获取这些已删除文件的路径,您可以使用debugfs -R "ncheck 320236"命令,将数字替换为您特定的inode。
Inode Pathname
320236 /path/to/file
您可以使用 cat 命令查看已删除文件的内容。(注意:必要时您也可以从这里恢复文件)。
关于此问题的精彩帖子,请访问这里。
有几点需要注意:
如果您的分区是ext2,则可能完全无法成功;它最适合使用ext4。
df /
将结果填充到挂载点中,例如我的情况:
sudo debugfs /dev/mapper/q4os--desktop--vg-root
lsdel
按q退出debugfs
sudo debugfs -R 'ncheck 528754' /dev/sda2 2>/dev/null(使用步骤#4中的数字进行替换)
感谢大家的评论和答案。 debugfs 似乎是最初需求的一个有趣解决方案,但对于我寻找的简单轻量级解决方案来说有点过度杀伤力;如果我理解正确,内核必须使用 debugfs 支持构建,并且目标目录必须在 debugfs 挂载中。不幸的是,这对我的用例并不适用;我必须能够为现有的“基本”内核和目录提供解决方案。
由于这似乎几乎不可能实现,因此我已经成功地协商并放宽了要求,仅列出从目录中最近删除的文件的数量,如果可能的话进行递归。
这是我最终实施的解决方案:
find 命令导入到 wc 中以计算目标目录(递归)中原始文件数。结果可以轻松地存储在 shell 或脚本变量中,而无需对文件系统进行写访问。DEL_SCAN_ORIG_AMOUNT=$(find /some/directory -type f | wc -l)
DEL_SCAN_NEW_AMOUNT=$(find /some/directory -type f | wc -l)
DEL_SCAN_DEL_AMOUNT=$(($DEL_SCAN_ORIG_AMOUNT - $DEL_SCAN_NEW_AMOUNT));
DEL_SCAN_ORIG_AMOUNT=$DEL_SCAN_NEW_AMOUNT
if [ $DEL_SCAN_DEL_AMOUNT -gt 0 ]; then echo "$DEL_SCAN_DEL_AMOUNT deleted files"; fi;
不幸的是,如果在一个时间间隔内创建和删除了相同数量的文件,这个解决方案将不会报告任何内容,但对于我的用例来说,这并不是一个 巨大 的问题。
为了避免这种情况,我需要存储实际的文件列表而不是数量,但我无法使用 shell 变量使其工作。如果有人能够解决这个问题,那么这将极大地帮助我满足最初的要求!
我还想知道是否有人对这两种方法有评论。
尝试:
lsof -nP | grep -i deleted
lsof命令只列出打开的文件;如果这些文件已被删除,则它们目前不会处于打开状态。(可能有一个微小的例外,即如果一个进程打开了一个文件,另一个进程删除了该文件。) - Mark Stewart历史记录 >> history.txt
查找所有的rm语句。
foo.bar~的文件,但是在该目录中没有foo.bar文件,从而假设文件已被删除。 - jgr208Linux唯一相关的是,对于大多数流行的Linux文件系统来说,您所要求的是不可能的。 - Alex P.