文件创建时间存储在EXT4文件系统的inode中。
早期版本的EXT文件系统不支持文件创建时间。
在“debugfs stat”输出中有一个“crtime”(创建时间)时间戳。
最后EXT4支持创建时间就像' btime '在NTFS窗口。
按照下面的说明来查找文件创建时间。
选择一个现有文件或创建一个新文件进行测试。
对于本例，我使用一个现有的文件。

第1步-查找文件的Inode编号

首先，在终端上使用以下命令查找任何文件的inode号。

$ ls -i /var/log/secure

13377 /var/log/syslog

步骤2 -查找文件创建时间(crtime)

在获得文件的inode编号后，使用debugfs命令，后面跟着stat 磁盘路径的inode编号。

$ debugfs -R 'stat <inode_number>' /dev/sda1

示例

$ debugfs -R 'stat <13377>' /dev/sda1

debugfs 1.41.12 (17-May-2010)
Inode: 13377   Type: regular    Mode:  0600   Flags: 0x80000
Generation: 2326794244    Version: 0x00000000:00000001
User:     0   Group:     0   Size: 223317
File ACL: 0    Directory ACL: 0
Links: 1   Blockcount: 440
Fragment:  Address: 0    Number: 0    Size: 0
 ctime: 0x5230b7ae:55efa068 -- Thu Sep 12 00:04:22 2013
 atime: 0x5230b7ae:55efa068 -- Thu Sep 12 00:04:22 2013
 mtime: 0x5230b7ae:55efa068 -- Thu Sep 12 00:04:22 2013
crtime: 0x4eeacc8a:0948eb58 -- Fri Dec 16 10:13:54 2011
Size of extra inode fields: 28
Extended attributes stored in inode body:
  selinux = "system_u:object_r:var_log_t:s000" (31)
EXTENTS:
(0-24): 35008-35032, (25-54): 164224-164253

在上面的输出中找到crtime的条目。
这是实际的文件创建时间。