您的位置:首页 > 文章资讯 > 网络技术
linux的lsof命令详解和lsof的技巧
作者: | 发表时间:2021-03-24 | 来源:本站整理 | 阅读次数:
lsof 是 linux 下的一个非常实用的系统级的监控、诊断工具。
它的意思是 List Open Files,很容易你就记住了它是 “ls + of”的组合,它可以用来列出被各种进程打开的文件信息,记住:linux 下 “一切皆文件”,包括但不限于 pipes, sockets, directories, devices, 等等。
因此,使用 lsof,你可以获取任何被打开文件的各种信息,只需输入 lsof 就可以生成大量的信息,因为 lsof 需要访问核心内存和各种文件,所以必须以 root 用

名称:沉默沼泽

类型:动作格斗

版本:v1.0.181009

更新:2023-12-26

平台:AndroidIpnone

简要介绍

沉默沼泽app是由ACG游戏网收集于官网最新发布版本,沉默沼泽是一款比较好玩的冒险解谜类游戏,玩家在游戏中将会成为一名警察,你需要找到师傅被害的真相,继而开始自己崭新的人生,游戏中给玩家设计了丰富的章节以及各种趣味的烧<详情>

lsof 是 linux 下的一个非常实用的系统级的监控、诊断工具。
它的意思是 List Open Files,很容易你就记住了它是 “ls + of”的组合,它可以用来列出被各种进程打开的文件信息,记住:linux 下 “一切皆文件”,包括但不限于 pipes, sockets, directories, devices, 等等。
因此,使用 lsof,你可以获取任何被打开文件的各种信息,只需输入 lsof 就可以生成大量的信息,因为 lsof 需要访问核心内存和各种文件,所以必须以 root 用户的身份运行它才能够充分地发挥其功能。

适应条件:lsof访问的是核心文件和各种文件,所以必须以root用户的身份运行才能充分发挥其功能。

lsof [选项] [绝对路径的文件名]

示例:
[root@localhost ~]# lsof /usr/sbin/httpd
COMMAND  PID   USER  FD   TYPE DEVICE SIZE/OFF   NODE NAME
httpd   6279   root txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6281 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6282 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6283 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6284 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6285 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6286 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6287 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6288 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6546 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd

每行显示一个打开的文件,默认如果后面不跟任何东西,将打开系统打开的所有文件
COMMAND :进程名称
PID:进程标识符
USER:进程所有者
FD:文件描述符,应用程序通过文件描述符识别到该文件。如cwd、txt等
TYPE:文件类型,如DIR,REG
DEVICE:指定磁盘名称
SIZE:文件大小
NODE:索引节点(文件在磁盘上的标识)
NAME:打开文件的确切名称

补充:FD列中的文件描述cwd值表示应用程序的当前工作目录,这是该程序启动的目录,除非它本身对这个目录进行更改。txt类型的是程序代码,如应用程序二进制文件本身或者共享库。其 次数值表示应用程序的文件描述符,这是打开文件时一个返回的一个整数。

如下示例:
COMMAND   PID       USER    FD      TYPE     DEVICE    SIZE/OFF   NODE NAME
lsof      6660      root    0u      CHR      136,0      0t0          3 /dev/pts/0
lsof      6660      root    1u      CHR      136,0      0t0          3 /dev/pts/0
lsof      6660      root    2u      CHR      136,0      0t0          3 /dev/pts/0
lsof      6660      root    3r      DIR        0,3        0          1 /proc
lsof      6660      root    4r      DIR        0,3        0      36358 /proc/6660/fd
lsof      6660      root    5w     FIFO        0,8      0t0      36363 pipe
lsof      6660      root    6r     FIFO        0,8      0t0      36364 pipe
lsof      6661      root  cwd       DIR        8,2     4096     130562 /root
lsof      6661      root  rtd       DIR        8,2     4096          2 /
lsof      6661      root  txt       REG        8,2   154356     415242 /usr/sbin/lsof
lsof      6661      root  mem       REG        8,2  1907156     914957 /lib/libc-2.12.so
lsof      6661      root  mem       REG        8,2    17892     914963 /lib/libdl-2.12.so
lsof      6661      root  mem       REG        8,2   141080     914950 /lib/ld-2.12.so
lsof      6661      root  mem       REG        8,2   120780     915040 /lib/libselinux.so.1
lsof      6661      root  mem       REG        8,2 99154448     395123 /usr/lib/locale/locale-archive
lsof      6661      root    4r     FIFO        0,8      0t0      36363 pipe
lsof      6661      root    7w     FIFO        0,8      0t0      36364 pipe

其中u表示该文件被打开处于读取写入模式,而不是只读或只写模式;r 只读 ; w 只写 ;W表示该应用程序具有对整个文件的写锁(确保每次只能打开一次应用程序实例)
初始打开每个应用程序时,都具有三个文件描述符,从0到2,分别表示标准输入、输出和错误流。因此,大多数应用程序所打开的FD都是从3开始!

TYPE:REG、DIR、CHR、BLK、UNIX、FIFO、IPV


二、应用lsof之恢复删除文件
当系统中的某个文件被意外删除了,只要这个时候系统中有进程正在访问这个文件,那么可以通过lsof 从/proc目录下恢复文件的内容

假如/var/log/messages文件被删了,恢复这个文件的方法:

首先使用lsof 查看当前是否有进程打开/var/log/messages文件,
#lsof |grep /var/log/messages

[root@localhost ~]# rm /var/log/messages
rm:是否删除普通文件 "/var/log/messages"?y

[root@localhost ~]# lsof |grep /var/log/messages
rsyslogd  5925      root    1w      REG        8,2     4369     266184 /var/log/messages (deleted)

从上面的信息可以看到PID 5925(syslogd)打开文件的文件描述符为1,同时发现/var/log/messages已经被删除了。
因此可以通过/var/log/messages文件描述符来查看文件信息

cat /pro/5925/fd/1
[root@localhost ~]# cat /proc/5925/fd/1
May 12 08:04:11 localhost kernel: hpet1: lost 3 rtc interrupts
May 12 08:04:11 localhost kernel: hpet1: lost 6 rtc interrupts
May 12 08:04:11 localhost kernel: hpet1: lost 1 rtc interrupts
May 12 09:25:33 localhost kernel: usb 2-2.1: USB disconnect, device number 10
May 12 09:25:33 localhost kernel: eth0: link down
May 12 09:25:33 localhost kernel: usb 2-2.1: new full speed USB device number 11 using uhci_hcd
May 12 09:25:33 localhost kernel: usb 2-2.1: New USB device found, idVendor=0e0f, idProduct=0008
May 12 09:25:33 localhost kernel: usb 2-2.1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
May 12 09:25:33 localhost kernel: usb 2-2.1: Product: Virtual Bluetooth Adapter
May 12 09:25:33 localhost kernel: usb 2-2.1: Manufacturer: VMware
May 12 09:25:33 localhost kernel: usb 2-2.1: SerialNumber: 000650268328
May 12 09:25:33 localhost kernel: usb 2-2.1: configuration #1 chosen from 1 choice

最后通过重定向的方法恢复被删除的/var/log/messages
cat /pro/5925/fd/1 >/var/log/messages

三、lsof命令详解:
3.1查看命令详解
lsof -h

3.2列出所有打开的文件
# lsof

不带任何参数运行lsof会列出所有进程打开的所有文件。

3.3找出谁在使用某个文件

# lsof /path/to/file

只需要执行文件的绝对路径,lsof就会列出所有使用这个文件的进程,你也可以列出多个文件,lsof会列出所有使用这些文件的进程。

你也可以一次制定多个文件:

# lsof /path/to/file1 /path/to/file2

3.4递归查找某个目录中所有打开的文件

# lsof +D /usr/lib

加上+D参数,lsof会对指定目录进行递归查找,注意这个参数要比grep版本慢:

# lsof | grep '/usr/lib'

之所以慢是因为+D首先查找所有的文件,然后一次性输出。

3.5列出某个用户打开的所有文件

# lsof -u pkrumins

-u选项限定只列出所有被用户pkrumins打开的文件,你可以通过逗号指定多个用户:

# lsof -u rms,root

这条命令会列出所有rms和root用户打开的文件。

你也可以像下面这样使用多个-u做同样的事情:

# lsof -u rms -u root

3.6查找某个程序打开的所有文件

# lsof -c apache

-c选项限定只列出以apache开头的进程打开的文件:

所以你可以不用像下面这样写:

# lsof | grep foo

而使用下面这个更简短的版本:

# lsof -c foo

事实上,你可以只制定进程名称的开头:

# lsof -c apa

这会列出所有以apa开头的进程打开的文件

你同样可以制定多个-c参数:

# lsof -c apache -c python

这会列出所有由apache和python打开的文件

3.7 列出所有由某个用户或某个进程打开的文件

# lsof -u pkrumins -c apache

你也可以组合使用多个选项,这些选项默认进行或关联,也就是说上面的命令会输入由pkrumins用户或是apache进程打开的文件。

3.8 列出所有由一个用户与某个进程打开的文件

# lsof -a -u pkrumins -c bash

-a参数可以将多个选项的组合条件由或变为与,上面的命令会显示所有由pkrumins用户以及bash进程打开的文件。

3.9列出除root用户外的所有用户打开的文件

# lsof -u ^root

注意root前面的^符号,它执行取反操作,因此lsof会列出所有root用户之外的用户打开的文件。


3.10 列出所有由某个PID对应的进程打开的文件

# lsof -p 1

-p选项让你可以使用进程id来过滤输出。

记住你也可以用逗号来分离多个pid。

# lsof -p 450,980,333

列出所有进程打开的文件除了某个pid的

# lsof -p ^1

同前面的用户一样,你也可以对-p选项使用^来进行取反。

3.11 列出所有网络连接

# lsof -i

lsof的-i选项可以列出所有打开了网络套接字(TCP和UDP)的进程。

3.12 列出所有TCP网络连接

# lsof -i tcp

也可以为-i选项加上参数,比如tcp,tcp选项会强制lsof只列出打开TCP sockets的进程。

3.13 列出所有UDP网络连接

# lsof -i udp

同样udp让lsof只列出使用UDP socket的进程。

3.14 找到使用某个端口的进程

# lsof -i :25

:25和-i选项组合可以让lsof列出占用TCP或UDP的25端口的进程。

你也可以使用/etc/services中制定的端口名称来代替端口号,比如:

# lsof -i :smtp

找到使用某个udp端口号的进程

# lsof -i udp:53

同样的,也可以找到使用某个tcp端口的进程:

# lsof -i tcp:80

3.15 找到某个用户的所有网络连接

# lsof -a -u hacker -i

使用-a将-u和-i选项组合可以让lsof列出某个用户的所有网络行为。

3.16 列出所有NFS(网络文件系统)文件

# lsof -N

这个参数很好记,-N就对应NFS。

3.17 列出所有UNIX域Socket文件

# lsof -U

这个选项也很好记,-U就对应UNIX。

3.18 列出所有对应某个组id的进程

# lsof -g 1234

进程组用来来逻辑上对进程进行分组,这个例子查找所有PGID为1234的进程打开的文件。

3.19 列出所有与某个描述符关联的文件

# lsof -d 2

这个命令会列出所有以描述符2打开的文件。

你也可以为描述符指定一个范围:

# lsof -d 0-2

这会列出所有描述符为0,1,2的文件。

-d选项还支持其它很多特殊值,下面的命令列出所有内存映射文件:

# lsof -d mem

txt则列出所有加载在内存中并正在执行的进程:

# lsof -d txt

3.20 输出使用某些资源的进程pid

# lsof -t -i

-t选项输出进程的PID,你可以将它和-i选项组合输出使用某个端口的进程的PID,下面的命令将会杀掉所有使用网络的进程:

# kill -9 'lsof -t -i'

3.21 循环列出文件

# lsof -r 1

-r选项让lsof可以循环列出文件直到被中断,参数1的意思是每秒钟重复打印一次,这个选项最好同某个范围比较小的查询组合使用,比如用来监测网络活动:

# lsof -r 1 -u john -i -a

四、如何安装lsof?

许多Unix系统都内置了lsof,如果你的系统没有安装,你可以yum install lsof 。

BSD系统有一个类似的工具可以做同样的事情,叫做fstat。

你可以通过man lsof来了解关于lsof的完整文档,或者通过lsof -h查看。