lsof（list open files）是一個列出當(dāng)前系統(tǒng)打開文件的工具。在linux環(huán)境下，任何事物都以文件的形式存在，通過文件不僅僅可以訪問常規(guī)數(shù)據(jù)，還可以訪問網(wǎng)絡(luò)連接和硬件。所以如傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報協(xié)議 (UDP) 套接字等，系統(tǒng)在后臺都為該應(yīng)用程序分配了一個文件描述符，無論這個文件的本質(zhì)如何，該文件描述符為應(yīng)用程序與基礎(chǔ)操作系統(tǒng)之間的交互提供了通用接口。

因為應(yīng)用程序打開文件的描述符列表提供了大量關(guān)于這個應(yīng)用程序本身的信息，因此通過lsof工具能夠查看這個列表對系統(tǒng)監(jiān)測以及排錯將是很有幫助的。

例如：傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報協(xié)議 (UDP) 套接字等，系統(tǒng)在后臺都為該應(yīng)用程序分配了一個文件描述符，無論這個文件的本質(zhì)如何，該文件描述符為應(yīng)用程序與基礎(chǔ)操作系統(tǒng)之間的交互提供了通用接口。

因為應(yīng)用程序打開文件的描述符列表提供了大量關(guān)于這個應(yīng)用程序本身的信息，因此通過lsof工具能夠查看這個列表，對系統(tǒng)監(jiān)測和排錯很有幫助。

字段含義

在終端下輸入lsof 即可顯示系統(tǒng)打開的文件， lsof 一般需要訪問核心內(nèi)存和各種文件，所以必須以 root 用戶的身份運行它才能夠充分地發(fā)揮其功能。

每行顯示一個打開的文件，若不指定條件默認將顯示所有進程打開的所有文件。

lsof輸出各列信息的意義如下：

COMMAND： 進程的名稱

PID： 進程標識符

USER： 進程所有者

FD： 文件描述符，應(yīng)用程序通過文件描述符識別該文件。如cwd、txt等

TYPE： 文件類型，如DIR、REG等

DEVICE： 指定磁盤的名稱

SIZE： 文件的大小

NODE： 索引節(jié)點（文件在磁盤上的標識）

NAME： 打開文件的確切名稱

其中：

FD 列中的文件描述符cwd 值表示應(yīng)用程序的當(dāng)前工作目錄，這是該應(yīng)用程序啟動的目錄，除非它本身對這個目錄進行更改。

txt 類型的文件是程序代碼，如應(yīng)用程序二進制文件本身或共享庫，如上列表中顯示的 /sbin/init 程序。

數(shù)值，表示應(yīng)用程序的文件描述符，這是打開該文件時返回的一個整數(shù)。如上的最后一行文件/dev/null，其文件描述符為 2u。這里 u 表示該文件被打開并處于讀取/寫入模式，而不是只讀 (r) 或只寫 (w) 模式。同時還有大寫 的W 表示該應(yīng)用程序具有對整個文件的寫鎖。該文件描述符用于確保每次只能打開一個應(yīng)用程序?qū)嵗?。初始打開每個應(yīng)用程序時，都具有三個文件描述符，從 0 到 2，分別表示標準輸入、輸出、錯誤流。所以大多數(shù)應(yīng)用程序所打開的文件的 FD 都是從 3 開始。

與 FD 列相比，Type 列則比較直觀。文件和目錄分別稱為 REG 和 DIR； 而CHR 和 BLK，分別表示字符和塊設(shè)備；或者 UNIX、FIFO 和 IPv4，分別表示 UNIX 域套接字、先進先出 (FIFO) 隊列，網(wǎng)際協(xié)議 (IP) 套接字。

====== lsof使用 ======

lsof命令是什么？

可以列出被進程所打開的文件的信息。被打開的文件可以是

1.普通的文件，

2.目錄

3.網(wǎng)絡(luò)文件系統(tǒng)的文件，

4.字符設(shè)備文件

5.(函數(shù))共享庫

6.管道，命名管道

7.符號鏈接

8.底層的socket字流，網(wǎng)絡(luò)socket，unix域名socket

9.在linux里面，大部分的東西都是被當(dāng)做文件的…..還有其他很多

怎樣使用lsof

這里主要用案例的形式來介紹lsof 命令的使用

1.列出所有打開的文件:

lsof

備注: 如果不加任何參數(shù)，就會打開所有被打開的文件，建議加上一下參數(shù)來具體定位

2. 查看誰正在使用某個文件

lsof /filepath/file

3.遞歸查看某個目錄的文件信息

lsof +D /filepath/filepath2/

備注: 使用了+D，對應(yīng)目錄下的所有子目錄和文件都會被列出

4. 比使用+D選項，遍歷查看某個目錄的所有文件信息 的方法

lsof | grep ‘/filepath/filepath2/’

5. 列出某個用戶打開的文件信息

lsof -u username

備注: -u 選項，u其實是user的縮寫

6. 列出某個程序所打開的文件信息

lsof -c mysql

備注: -c 選項將會列出所有以mysql開頭的程序的文件，其實你也可以寫成 lsof | grep mysql, 但是第一種方法明顯比第二種方法要少打幾個字符了

7. 列出多個程序多打開的文件信息

lsof -c mysql -c apache

8. 列出某個用戶以及某個程序所打開的文件信息

lsof -u test -c mysql

9. 列出除了某個用戶外的被打開的文件信息

lsof -u ^root

備注：^這個符號在用戶名之前，將會把是root用戶打開的進程不讓顯示

10. 通過某個進程號顯示該進行打開的文件

lsof -p 1

11. 列出多個進程號對應(yīng)的文件信息

lsof -p 123,456,789

12. 列出除了某個進程號，其他進程號所打開的文件信息

lsof -p ^1

13 . 列出所有的網(wǎng)絡(luò)連接

lsof -i

14. 列出所有tcp 網(wǎng)絡(luò)連接信息

lsof -i tcp

15. 列出所有udp網(wǎng)絡(luò)連接信息

lsof -i udp

16. 列出誰在使用某個端口

lsof -i :3306

17. 列出誰在使用某個特定的udp端口

lsof -i udp:55

特定的tcp端口

lsof -i tcp:80

18. 列出某個用戶的所有活躍的網(wǎng)絡(luò)端口

lsof -a -u test -i

19. 列出所有網(wǎng)絡(luò)文件系統(tǒng)

lsof -N

20.域名socket文件

lsof -u

21.某個用戶組所打開的文件信息

lsof -g 5555

22. 根據(jù)文件描述列出對應(yīng)的文件信息

lsof -d description(like 2)

23. 根據(jù)文件描述范圍列出文件信息

lsof -d 2-3

===== lsof輸出信息含義 =====

在終端下輸入lsof即可顯示系統(tǒng)打開的文件，因為 lsof 需要訪問核心內(nèi)存和各種文件，所以必須以 root 用戶的身份運行它才能夠充分地發(fā)揮其功能。

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

init 1 root cwd DIR 3,3 1024 2 /

init 1 root rtd DIR 3,3 1024 2 /

init 1 root txt REG 3,3 38432 1763452 /sbin/init

init 1 root mem REG 3,3 106114 1091620 /lib/libdl-2.6.so

init 1 root mem REG 3,3 7560696 1091614 /lib/libc-2.6.so

init 1 root mem REG 3,3 79460 1091669 /lib/libselinux.so.1

init 1 root mem REG 3,3 223280 1091668 /lib/libsepol.so.1

init 1 root mem REG 3,3 564136 1091607 /lib/ld-2.6.so

init 1 root 10u FIFO 0,15 1309 /dev/initctl

每行顯示一個打開的文件，若不指定條件默認將顯示所有進程打開的所有文件。lsof輸出各列信息的意義如下：

COMMAND：進程的名稱

PID：進程標識符

USER：進程所有者

FD：文件描述符，應(yīng)用程序通過文件描述符識別該文件。如cwd、txt等

TYPE：文件類型，如DIR、REG等

DEVICE：指定磁盤的名稱

SIZE：文件的大小

NODE：索引節(jié)點（文件在磁盤上的標識）

NAME：打開文件的確切名稱

其中FD 列中的文件描述符cwd 值表示應(yīng)用程序的當(dāng)前工作目錄，這是該應(yīng)用程序啟動的目錄，除非它本身對這個目錄進行更改。txt 類型的文件是程序代碼，如應(yīng)用程序二進制文件本身或共享庫，如上列表中顯示的 /sbin/init 程序。其次數(shù)值表示應(yīng)用程序的文件描述符，這是打開該文件時返回的一個整數(shù)。如上的最后一行文件/dev/initctl，其文件描述符為 10。u 表示該文件被打開并處于讀取/寫入模式，而不是只讀 (r) 或只寫 (w) 模式。同時還有大寫 的W 表示該應(yīng)用程序具有對整個文件的寫鎖。該文件描述符用于確保每次只能打開一個應(yīng)用程序?qū)嵗?。初始打開每個應(yīng)用程序時，都具有三個文件描述符，從 0 到 2，分別表示標準輸入、輸出和錯誤流。所以大多數(shù)應(yīng)用程序所打開的文件的 FD 都是從 3 開始。

與 FD 列相比，Type 列則比較直觀。文件和目錄分別稱為 REG 和 DIR。而CHR 和 BLK，分別表示字符和塊設(shè)備；或者 UNIX、FIFO 和 IPv4，分別表示 UNIX 域套接字、先進先出 (FIFO) 隊列和網(wǎng)際協(xié)議 (IP) 套接字。

===== lsof常用參數(shù) =====

lsof 常見的用法是查找應(yīng)用程序打開的文件的名稱和數(shù)目?？捎糜诓檎页瞿硞€特定應(yīng)用程序?qū)⑷罩緮?shù)據(jù)記錄到何處，或者正在跟蹤某個問題。例如，linux限制了進程能夠打開文件的數(shù)目。通常這個數(shù)值很大，所以不會產(chǎn)生問題，并且在需要時，應(yīng)用程序可以請求更大的值（直到某個上限）。如果你懷疑應(yīng)用程序耗盡了文件描述符，那么可以使用 lsof 統(tǒng)計打開的文件數(shù)目，以進行驗證。lsof語法格式是：

lsof ［options］ filename

常用的參數(shù)列表：

lsof filename 顯示打開指定文件的所有進程

lsof -a 表示兩個參數(shù)都必須滿足時才顯示結(jié)果

lsof -c string 顯示COMMAND列中包含指定字符的進程所有打開的文件

lsof -u username 顯示所屬user進程打開的文件

lsof -g gid 顯示歸屬gid的進程情況

lsof +d /DIR/ 顯示目錄下被進程打開的文件

lsof +D /DIR/ 同上，但是會搜索目錄下的所有目錄，時間相對較長

lsof -d FD 顯示指定文件描述符的進程

lsof -n 不將IP轉(zhuǎn)換為hostname，缺省是不加上-n參數(shù)

lsof -i 用以顯示符合條件的進程情況

lsof -i[46] [protocol][@hostname|hostaddr][:service|port]

46 --> IPv4 or IPv6

protocol --> TCP or UDP

hostname --> Internet host name

hostaddr --> IPv4地址

service --> /etc/service中的 service name (可以不只一個)

port --> 端口號 (可以不只一個)

例如： 查看22端口現(xiàn)在運行的情況

# lsof -i :22

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

sshd 1409 root 3u IPv6 5678 TCP *:ssh (LISTEN)

查看所屬root用戶進程所打開的文件類型為txt的文件:

# lsof -a -u root -d txt

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

init 1 root txt REG 3,3 38432 1763452 /sbin/init

mingetty 1632 root txt REG 3,3 14366 1763337 /sbin/mingetty

mingetty 1633 root txt REG 3,3 14366 1763337 /sbin/mingetty

mingetty 1634 root txt REG 3,3 14366 1763337 /sbin/mingetty

mingetty 1635 root txt REG 3,3 14366 1763337 /sbin/mingetty

mingetty 1636 root txt REG 3,3 14366 1763337 /sbin/mingetty

mingetty 1637 root txt REG 3,3 14366 1763337 /sbin/mingetty

kdm 1638 root txt REG 3,3 132548 1428194 /usr/bin/kdm

X 1670 root txt REG 3,3 1716396 1428336 /usr/bin/Xorg

kdm 1671 root txt REG 3,3 132548 1428194 /usr/bin/kdm

startkde 2427 root txt REG 3,3 645408 1544195 /bin/bash. ...

=====lsof使用實例 =====

==== 一、查找誰在使用文件系統(tǒng) ====

在卸載文件系統(tǒng)時，如果該文件系統(tǒng)中有任何打開的文件，操作通常將會失敗。那么通過lsof可以找出那些進程在使用當(dāng)前要卸載的文件系統(tǒng)，如下：

# lsof /GTES11/

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

bash 4208 root cwd DIR 3,1 4096 2 /GTES11/

vim 4230 root cwd DIR 3,1 4096 2 /GTES11/

在這個示例中，用戶root正在其/GTES11目錄中進行一些操作。一個 bash是實例正在運行，并且它當(dāng)前的目錄為/GTES11，另一個則顯示的是vim正在編輯/GTES11下的文件。要成功地卸載/GTES11，應(yīng)該在通知用戶以確保情況正常之后，中止這些進程。

這個示例說明了應(yīng)用程序的當(dāng)前工作目錄非常重要，因為它仍保持著文件資源，并且可以防止文件系統(tǒng)被卸載。這就是為什么大部分守護進程（后臺進程）將它們的目錄更改為根目錄、或服務(wù)特定的目錄（如 sendmail 示例中的 /var/spool/mqueue）的原因，以避免該守護進程阻止卸載不相關(guān)的文件系統(tǒng)。

==== 二、恢復(fù)刪除的文件 ====

當(dāng)Linux計算機受到入侵時，常見的情況是日志文件被刪除，以掩蓋攻擊者的蹤跡。管理錯誤也可能導(dǎo)致意外刪除重要的文件，比如在清理舊日志時，意外地刪除了數(shù)據(jù)庫的活動事務(wù)日志。有時可以通過lsof來恢復(fù)這些文件。

當(dāng)進程打開了某個文件時，只要該進程保持打開該文件，即使將其刪除，它依然存在于磁盤中。這意味著，進程并不知道文件已經(jīng)被刪除，它仍然可以向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外，這個文件是不可見的，因為已經(jīng)刪除了其相應(yīng)的目錄索引節(jié)點。

在/proc 目錄下，其中包含了反映內(nèi)核和進程樹的各種文件。/proc目錄掛載的是在內(nèi)存中所映射的一塊區(qū)域，所以這些文件和目錄并不存在于磁盤中，因此當(dāng)我們對這些文件進行讀取和寫入時，實際上是在從內(nèi)存中獲取相關(guān)信息。大多數(shù)與 lsof 相關(guān)的信息都存儲于以進程的 PID 命名的目錄中，即 /proc/1234 中包含的是 PID 為 1234 的進程的信息。每個進程目錄中存在著各種文件，它們可以使得應(yīng)用程序簡單地了解進程的內(nèi)存空間、文件描述符列表、指向磁盤上的文件的符號鏈接和其他系統(tǒng)信息。lsof 程序使用該信息和其他關(guān)于內(nèi)核內(nèi)部狀態(tài)的信息來產(chǎn)生其輸出。所以lsof 可以顯示進程的文件描述符和相關(guān)的文件名等信息。也就是我們通過訪問進程的文件描述符可以找到該文件的相關(guān)信息。

當(dāng)系統(tǒng)中的某個文件被意外地刪除了，只要這個時候系統(tǒng)中還有進程正在訪問該文件，那么我們就可以通過lsof從/proc目錄下恢復(fù)該文件的內(nèi)容。 假如由于誤操作將/var/log/messages文件刪除掉了，那么這時要將/var/log/messages文件恢復(fù)的方法如下：

首先使用lsof來查看當(dāng)前是否有進程打開/var/logmessages文件，如下：

# lsof |grep /var/log/messages syslogd 1283 root 2w REG 3,3 5381017 1773647 /var/log/messages (deleted)

從上面的信息可以看到 PID 1283（syslogd）打開文件的文件描述符為 2。同時還可以看到/var/log/messages已經(jīng)標記被刪除了。因此我們可以在 /proc/1283/fd/2 （fd下的每個以數(shù)字命名的文件表示進程對應(yīng)的文件描述符）中查看相應(yīng)的信息，如下：

# head -n 10 /proc/1283/fd/2

Aug 4 13:50:15 holmes86 syslogd 1.4.1: restart.

Aug 4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started.

Aug 4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 (root@everestbuilder.linux-ren.org) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007

Aug 4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map:

Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000000000 - 000000000009f000 (usable)

Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved)

Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable)

Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000001f7d3800 - 0000000020000000 (reserved)

Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000e0000000 - 00000000f0007000 (reserved)

Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000f0008000 - 00000000f000c000 (reserved)

從上面的信息可以看出，查看 /proc/8663/fd/15 就可以得到所要恢復(fù)的數(shù)據(jù)。如果可以通過文件描述符查看相應(yīng)的數(shù)據(jù)，那么就可以使用 I/O 重定向?qū)⑵鋸?fù)制到文件中，如:

cat /proc/1283/fd/2 > /var/log/messages

對于許多應(yīng)用程序，尤其是日志文件和數(shù)據(jù)庫，這種恢復(fù)刪除文件的方法非常有用。

完！

最新評論