查找仅包含某些文本的文件的最快方法

Question 1

将所需的文本放入文件中，然后cmp在每个候选文件上运行。

pgrep myproc >/tmp/the_pid
find /var -type f -size $(wc -c </tmp/the_pid)c -exec cmp -s /tmp/the_pid {} \; -print

strace -eopen但对于这个用例，我会在以下或使用以下命令重新启动程序auditd规则:

auditctl -F "ppid=$$,a2&0x100" -S open
/path/to/daemon

Answer

将所需的文本放入文件中，然后cmp在每个候选文件上运行。

pgrep myproc >/tmp/the_pid
find /var -type f -size $(wc -c </tmp/the_pid)c -exec cmp -s /tmp/the_pid {} \; -print

strace -eopen但对于这个用例，我会在以下或使用以下命令重新启动程序auditd规则:

auditctl -F "ppid=$$,a2&0x100" -S open
/path/to/daemon

Question 2

您可以将正则表达式传递给 grep，试试这个：（假设 PID 是 67543）

grep -R '^67543$' /

在正则表达式中，^胡萝卜（sp）符号表示“字符串的开头”，而$美元符号表示“字符串的结尾”，因此上面的正则表达式只会返回文件以字符串“67543”开头和结尾的结果。

Answer

您可以将正则表达式传递给 grep，试试这个：（假设 PID 是 67543）

grep -R '^67543$' /

在正则表达式中，^胡萝卜（sp）符号表示“字符串的开头”，而$美元符号表示“字符串的结尾”，因此上面的正则表达式只会返回文件以字符串“67543”开头和结尾的结果。

Question 3

find searchtree -type f -size `stat -c%s needle`c | xargs -n1 diff -s needle

Answer

find searchtree -type f -size `stat -c%s needle`c | xargs -n1 diff -s needle

Question 4

如果您的程序没有在启动时启动或与无数其他程序一起启动，则您的 pidfile 应该与进程一样旧，开始时不到一分钟。

如果您知道 PID，您就知道它的长度，因此您可以减少进一步搜索的文件数量：

 find -type f -mmin -1 -size 6c -exec grep 12345 {} \;

对于 5 位 PID，使用 6c 作为大小，因为它们包含尾随换行符（来自 ysangkok 作为注释）。

Answer

如果您的程序没有在启动时启动或与无数其他程序一起启动，则您的 pidfile 应该与进程一样旧，开始时不到一分钟。

如果您知道 PID，您就知道它的长度，因此您可以减少进一步搜索的文件数量：

 find -type f -mmin -1 -size 6c -exec grep 12345 {} \;

对于 5 位 PID，使用 6c 作为大小，因为它们包含尾随换行符（来自 ysangkok 作为注释）。

相关内容