文件的创建时间被存储在EXT4文件系统inode中。 EXT文件系统的早期版本不支持文件的创建时间。 有一个“ crtime “(创建时间)时间戳 debugfs统计输出。最后EXT4支持创建时间就像windows的 NTFS中的 “btime “一样。 按照以下如何找到文件的创建时间的说明。选择一个现有的文件或创建新的文件测试。在这个例子中,我使用现有的文件。
第1步:查找文件的inode编号
查找使用下面的命令终端的任何文件的inode号。
# ls -i /var/log/messages
13377 /var/log/messages
第2步:查找文件创建时间(crtime)
# debugfs -R 'stat <inode_number>' /dev/sda1
执行:
# debugfs -R 'stat <13377>' /dev/sda1
debugfs 1.41.12 (17-May-2010)
Inode: 13377 Type: regular Mode: 0600 Flags: 0x80000
Generation: 2326794244 Version: 0x00000000:00000001
User: 0 Group: 0 Size: 223317
File ACL: 0 Directory ACL: 0
Links: 1 Blockcount: 440
Fragment: Address: 0 Number: 0 Size: 0
ctime: 0x5230b7ae:55efa068 -- Thu Sep 12 00:04:22 2013
atime: 0x5230b7ae:55efa068 -- Thu Sep 12 00:04:22 2013
mtime: 0x5230b7ae:55efa068 -- Thu Sep 12 00:04:22 2013
crtime: 0x4eeacc8a:0948eb58 -- Fri Dec 16 10:13:54 2011
Size of extra inode fields: 28
Extended attributes stored in inode body:
selinux = "system_u:object_r:var_log_t:s0 00" (31)
EXTENTS:
(0-24): 35008-35032, (25-54): 164224-164253
在上面的输出中找到
crtime
。
这是实际的文件的创建时间。 参考文献: 了解更多关于ext4文件系统:
https://ext4.wiki.kernel.org/index.php/Ext4_Disk_Layout
