lsof（list open files）是一個(gè)列出當(dāng)前系統(tǒng)打開文件的工具。在linux環(huán)境下，任何事物都以文件的形式存在，通過文件不僅僅可以訪問常規(guī)數(shù)據(jù)，還可以訪問網(wǎng)絡(luò)連接和硬件。所以如傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 套接字等，系統(tǒng)在后臺(tái)都為該應(yīng)用程序分配了一個(gè)文件描述符，無論這個(gè)文件的本質(zhì)如何，該文件描述符為應(yīng)用程序與基礎(chǔ)操作系統(tǒng)之間的交互提供了通用接口。

因?yàn)閼?yīng)用程序打開文件的描述符列表提供了大量關(guān)于這個(gè)應(yīng)用程序本身的信息，因此通過lsof工具能夠查看這個(gè)列表對(duì)系統(tǒng)監(jiān)測(cè)以及排錯(cuò)將是很有幫助的。

例如：傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 套接字等，系統(tǒng)在后臺(tái)都為該應(yīng)用程序分配了一個(gè)文件描述符，無論這個(gè)文件的本質(zhì)如何，該文件描述符為應(yīng)用程序與基礎(chǔ)操作系統(tǒng)之間的交互提供了通用接口。

因?yàn)閼?yīng)用程序打開文件的描述符列表提供了大量關(guān)于這個(gè)應(yīng)用程序本身的信息，因此通過lsof工具能夠查看這個(gè)列表，對(duì)系統(tǒng)監(jiān)測(cè)和排錯(cuò)很有幫助。

字段含義

在終端下輸入lsof 即可顯示系統(tǒng)打開的文件， lsof 一般需要訪問核心內(nèi)存和各種文件，所以必須以 root 用戶的身份運(yùn)行它才能夠充分地發(fā)揮其功能。

每行顯示一個(gè)打開的文件，若不指定條件默認(rèn)將顯示所有進(jìn)程打開的所有文件。

lsof輸出各列信息的意義如下：

COMMAND： 進(jìn)程的名稱

PID： 進(jìn)程標(biāo)識(shí)符

USER： 進(jìn)程所有者

FD： 文件描述符，應(yīng)用程序通過文件描述符識(shí)別該文件。如cwd、txt等

TYPE： 文件類型，如DIR、REG等

DEVICE： 指定磁盤的名稱

SIZE： 文件的大小

NODE： 索引節(jié)點(diǎn)（文件在磁盤上的標(biāo)識(shí)）

NAME： 打開文件的確切名稱

其中：

FD 列中的文件描述符cwd 值表示應(yīng)用程序的當(dāng)前工作目錄，這是該應(yīng)用程序啟動(dòng)的目錄，除非它本身對(duì)這個(gè)目錄進(jìn)行更改。

txt 類型的文件是程序代碼，如應(yīng)用程序二進(jìn)制文件本身或共享庫，如上列表中顯示的 /sbin/init 程序。

數(shù)值，表示應(yīng)用程序的文件描述符，這是打開該文件時(shí)返回的一個(gè)整數(shù)。如上的最后一行文件/dev/null，其文件描述符為 2u。這里 u 表示該文件被打開并處于讀取/寫入模式，而不是只讀 (r) 或只寫 (w) 模式。同時(shí)還有大寫 的W 表示該應(yīng)用程序具有對(duì)整個(gè)文件的寫鎖。該文件描述符用于確保每次只能打開一個(gè)應(yīng)用程序?qū)嵗３跏即蜷_每個(gè)應(yīng)用程序時(shí)，都具有三個(gè)文件描述符，從 0 到 2，分別表示標(biāo)準(zhǔn)輸入、輸出、錯(cuò)誤流。所以大多數(shù)應(yīng)用程序所打開的文件的 FD 都是從 3 開始。

與 FD 列相比，Type 列則比較直觀。文件和目錄分別稱為 REG 和 DIR； 而CHR 和 BLK，分別表示字符和塊設(shè)備；或者 UNIX、FIFO 和 IPv4，分別表示 UNIX 域套接字、先進(jìn)先出 (FIFO) 隊(duì)列，網(wǎng)際協(xié)議 (IP) 套接字。

====== lsof使用 ======

lsof命令是什么？

可以列出被進(jìn)程所打開的文件的信息。被打開的文件可以是

1.普通的文件，

2.目錄

3.網(wǎng)絡(luò)文件系統(tǒng)的文件，

4.字符設(shè)備文件

5.(函數(shù))共享庫

6.管道，命名管道

7.符號(hào)鏈接

8.底層的socket字流，網(wǎng)絡(luò)socket，unix域名socket

9.在linux里面，大部分的東西都是被當(dāng)做文件的…..還有其他很多

怎樣使用lsof

這里主要用案例的形式來介紹lsof 命令的使用

1.列出所有打開的文件:

lsof

備注: 如果不加任何參數(shù)，就會(huì)打開所有被打開的文件，建議加上一下參數(shù)來具體定位

2. 查看誰正在使用某個(gè)文件

lsof /filepath/file

3.遞歸查看某個(gè)目錄的文件信息

lsof +D /filepath/filepath2/

備注: 使用了+D，對(duì)應(yīng)目錄下的所有子目錄和文件都會(huì)被列出

4. 比使用+D選項(xiàng)，遍歷查看某個(gè)目錄的所有文件信息 的方法

lsof | grep ‘/filepath/filepath2/’

5. 列出某個(gè)用戶打開的文件信息

lsof -u username

備注: -u 選項(xiàng)，u其實(shí)是user的縮寫

6. 列出某個(gè)程序所打開的文件信息

lsof -c mysql

備注: -c 選項(xiàng)將會(huì)列出所有以mysql開頭的程序的文件，其實(shí)你也可以寫成 lsof | grep mysql, 但是第一種方法明顯比第二種方法要少打幾個(gè)字符了

7. 列出多個(gè)程序多打開的文件信息

lsof -c mysql -c apache

8. 列出某個(gè)用戶以及某個(gè)程序所打開的文件信息

lsof -u test -c mysql

9. 列出除了某個(gè)用戶外的被打開的文件信息

lsof -u ^root

備注：^這個(gè)符號(hào)在用戶名之前，將會(huì)把是root用戶打開的進(jìn)程不讓顯示

10. 通過某個(gè)進(jìn)程號(hào)顯示該進(jìn)行打開的文件

lsof -p 1

11. 列出多個(gè)進(jìn)程號(hào)對(duì)應(yīng)的文件信息

lsof -p 123,456,789

12. 列出除了某個(gè)進(jìn)程號(hào)，其他進(jìn)程號(hào)所打開的文件信息

lsof -p ^1

13 . 列出所有的網(wǎng)絡(luò)連接

lsof -i

14. 列出所有tcp 網(wǎng)絡(luò)連接信息

lsof -i tcp

15. 列出所有udp網(wǎng)絡(luò)連接信息

lsof -i udp

16. 列出誰在使用某個(gè)端口

lsof -i :3306

17. 列出誰在使用某個(gè)特定的udp端口

lsof -i udp:55

特定的tcp端口

lsof -i tcp:80

18. 列出某個(gè)用戶的所有活躍的網(wǎng)絡(luò)端口

lsof -a -u test -i

19. 列出所有網(wǎng)絡(luò)文件系統(tǒng)

lsof -N

20.域名socket文件

lsof -u

21.某個(gè)用戶組所打開的文件信息

lsof -g 5555

22. 根據(jù)文件描述列出對(duì)應(yīng)的文件信息

lsof -d description(like 2)

23. 根據(jù)文件描述范圍列出文件信息

lsof -d 2-3

===== lsof輸出信息含義 =====

在終端下輸入lsof即可顯示系統(tǒng)打開的文件，因?yàn)?lsof 需要訪問核心內(nèi)存和各種文件，所以必須以 root 用戶的身份運(yùn)行它才能夠充分地發(fā)揮其功能。

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

init 1 root cwd DIR 3,3 1024 2 /

init 1 root rtd DIR 3,3 1024 2 /

init 1 root txt REG 3,3 38432 1763452 /sbin/init

init 1 root mem REG 3,3 106114 1091620 /lib/libdl-2.6.so

init 1 root mem REG 3,3 7560696 1091614 /lib/libc-2.6.so

init 1 root mem REG 3,3 79460 1091669 /lib/libselinux.so.1

init 1 root mem REG 3,3 223280 1091668 /lib/libsepol.so.1

init 1 root mem REG 3,3 564136 1091607 /lib/ld-2.6.so

init 1 root 10u FIFO 0,15 1309 /dev/initctl

每行顯示一個(gè)打開的文件，若不指定條件默認(rèn)將顯示所有進(jìn)程打開的所有文件。lsof輸出各列信息的意義如下：

COMMAND：進(jìn)程的名稱

PID：進(jìn)程標(biāo)識(shí)符

USER：進(jìn)程所有者

FD：文件描述符，應(yīng)用程序通過文件描述符識(shí)別該文件。如cwd、txt等

TYPE：文件類型，如DIR、REG等

DEVICE：指定磁盤的名稱

SIZE：文件的大小

NODE：索引節(jié)點(diǎn)（文件在磁盤上的標(biāo)識(shí)）

NAME：打開文件的確切名稱

其中FD 列中的文件描述符cwd 值表示應(yīng)用程序的當(dāng)前工作目錄，這是該應(yīng)用程序啟動(dòng)的目錄，除非它本身對(duì)這個(gè)目錄進(jìn)行更改。txt 類型的文件是程序代碼，如應(yīng)用程序二進(jìn)制文件本身或共享庫，如上列表中顯示的 /sbin/init 程序。其次數(shù)值表示應(yīng)用程序的文件描述符，這是打開該文件時(shí)返回的一個(gè)整數(shù)。如上的最后一行文件/dev/initctl，其文件描述符為 10。u 表示該文件被打開并處于讀取/寫入模式，而不是只讀 (r) 或只寫 (w) 模式。同時(shí)還有大寫 的W 表示該應(yīng)用程序具有對(duì)整個(gè)文件的寫鎖。該文件描述符用于確保每次只能打開一個(gè)應(yīng)用程序?qū)嵗３跏即蜷_每個(gè)應(yīng)用程序時(shí)，都具有三個(gè)文件描述符，從 0 到 2，分別表示標(biāo)準(zhǔn)輸入、輸出和錯(cuò)誤流。所以大多數(shù)應(yīng)用程序所打開的文件的 FD 都是從 3 開始。

與 FD 列相比，Type 列則比較直觀。文件和目錄分別稱為 REG 和 DIR。而CHR 和 BLK，分別表示字符和塊設(shè)備；或者 UNIX、FIFO 和 IPv4，分別表示 UNIX 域套接字、先進(jìn)先出 (FIFO) 隊(duì)列和網(wǎng)際協(xié)議 (IP) 套接字。

===== lsof常用參數(shù) =====

lsof 常見的用法是查找應(yīng)用程序打開的文件的名稱和數(shù)目?？捎糜诓檎页瞿硞€(gè)特定應(yīng)用程序?qū)⑷罩緮?shù)據(jù)記錄到何處，或者正在跟蹤某個(gè)問題。例如，linux限制了進(jìn)程能夠打開文件的數(shù)目。通常這個(gè)數(shù)值很大，所以不會(huì)產(chǎn)生問題，并且在需要時(shí)，應(yīng)用程序可以請(qǐng)求更大的值（直到某個(gè)上限）。如果你懷疑應(yīng)用程序耗盡了文件描述符，那么可以使用 lsof 統(tǒng)計(jì)打開的文件數(shù)目，以進(jìn)行驗(yàn)證。lsof語法格式是：

lsof ［options］ filename

常用的參數(shù)列表：

lsof filename 顯示打開指定文件的所有進(jìn)程

lsof -a 表示兩個(gè)參數(shù)都必須滿足時(shí)才顯示結(jié)果

lsof -c string 顯示COMMAND列中包含指定字符的進(jìn)程所有打開的文件

lsof -u username 顯示所屬user進(jìn)程打開的文件

lsof -g gid 顯示歸屬gid的進(jìn)程情況

lsof +d /DIR/ 顯示目錄下被進(jìn)程打開的文件

lsof +D /DIR/ 同上，但是會(huì)搜索目錄下的所有目錄，時(shí)間相對(duì)較長

lsof -d FD 顯示指定文件描述符的進(jìn)程

lsof -n 不將IP轉(zhuǎn)換為hostname，缺省是不加上-n參數(shù)

lsof -i 用以顯示符合條件的進(jìn)程情況

lsof -i[46] [protocol][@hostname|hostaddr][:service|port]

46 --> IPv4 or IPv6

protocol --> TCP or UDP

hostname --> Internet host name

hostaddr --> IPv4地址

service --> /etc/service中的 service name (可以不只一個(gè))

port --> 端口號(hào) (可以不只一個(gè))

例如： 查看22端口現(xiàn)在運(yùn)行的情況

# lsof -i :22

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

sshd 1409 root 3u IPv6 5678 TCP *:ssh (LISTEN)

查看所屬root用戶進(jìn)程所打開的文件類型為txt的文件:

# lsof -a -u root -d txt

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

init 1 root txt REG 3,3 38432 1763452 /sbin/init

mingetty 1632 root txt REG 3,3 14366 1763337 /sbin/mingetty

mingetty 1633 root txt REG 3,3 14366 1763337 /sbin/mingetty

mingetty 1634 root txt REG 3,3 14366 1763337 /sbin/mingetty

mingetty 1635 root txt REG 3,3 14366 1763337 /sbin/mingetty

mingetty 1636 root txt REG 3,3 14366 1763337 /sbin/mingetty

mingetty 1637 root txt REG 3,3 14366 1763337 /sbin/mingetty

kdm 1638 root txt REG 3,3 132548 1428194 /usr/bin/kdm

X 1670 root txt REG 3,3 1716396 1428336 /usr/bin/Xorg

kdm 1671 root txt REG 3,3 132548 1428194 /usr/bin/kdm

startkde 2427 root txt REG 3,3 645408 1544195 /bin/bash. ...

=====lsof使用實(shí)例 =====

==== 一、查找誰在使用文件系統(tǒng) ====

在卸載文件系統(tǒng)時(shí)，如果該文件系統(tǒng)中有任何打開的文件，操作通常將會(huì)失敗。那么通過lsof可以找出那些進(jìn)程在使用當(dāng)前要卸載的文件系統(tǒng)，如下：

# lsof /GTES11/

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

bash 4208 root cwd DIR 3,1 4096 2 /GTES11/

vim 4230 root cwd DIR 3,1 4096 2 /GTES11/

在這個(gè)示例中，用戶root正在其/GTES11目錄中進(jìn)行一些操作。一個(gè) bash是實(shí)例正在運(yùn)行，并且它當(dāng)前的目錄為/GTES11，另一個(gè)則顯示的是vim正在編輯/GTES11下的文件。要成功地卸載/GTES11，應(yīng)該在通知用戶以確保情況正常之后，中止這些進(jìn)程。

這個(gè)示例說明了應(yīng)用程序的當(dāng)前工作目錄非常重要，因?yàn)樗员３种募Y源，并且可以防止文件系統(tǒng)被卸載。這就是為什么大部分守護(hù)進(jìn)程（后臺(tái)進(jìn)程）將它們的目錄更改為根目錄、或服務(wù)特定的目錄（如 sendmail 示例中的 /var/spool/mqueue）的原因，以避免該守護(hù)進(jìn)程阻止卸載不相關(guān)的文件系統(tǒng)。

==== 二、恢復(fù)刪除的文件 ====

當(dāng)Linux計(jì)算機(jī)受到入侵時(shí)，常見的情況是日志文件被刪除，以掩蓋攻擊者的蹤跡。管理錯(cuò)誤也可能導(dǎo)致意外刪除重要的文件，比如在清理舊日志時(shí)，意外地刪除了數(shù)據(jù)庫的活動(dòng)事務(wù)日志。有時(shí)可以通過lsof來恢復(fù)這些文件。

當(dāng)進(jìn)程打開了某個(gè)文件時(shí)，只要該進(jìn)程保持打開該文件，即使將其刪除，它依然存在于磁盤中。這意味著，進(jìn)程并不知道文件已經(jīng)被刪除，它仍然可以向打開該文件時(shí)提供給它的文件描述符進(jìn)行讀取和寫入。除了該進(jìn)程之外，這個(gè)文件是不可見的，因?yàn)橐呀?jīng)刪除了其相應(yīng)的目錄索引節(jié)點(diǎn)。

在/proc 目錄下，其中包含了反映內(nèi)核和進(jìn)程樹的各種文件。/proc目錄掛載的是在內(nèi)存中所映射的一塊區(qū)域，所以這些文件和目錄并不存在于磁盤中，因此當(dāng)我們對(duì)這些文件進(jìn)行讀取和寫入時(shí)，實(shí)際上是在從內(nèi)存中獲取相關(guān)信息。大多數(shù)與 lsof 相關(guān)的信息都存儲(chǔ)于以進(jìn)程的 PID 命名的目錄中，即 /proc/1234 中包含的是 PID 為 1234 的進(jìn)程的信息。每個(gè)進(jìn)程目錄中存在著各種文件，它們可以使得應(yīng)用程序簡單地了解進(jìn)程的內(nèi)存空間、文件描述符列表、指向磁盤上的文件的符號(hào)鏈接和其他系統(tǒng)信息。lsof 程序使用該信息和其他關(guān)于內(nèi)核內(nèi)部狀態(tài)的信息來產(chǎn)生其輸出。所以lsof 可以顯示進(jìn)程的文件描述符和相關(guān)的文件名等信息。也就是我們通過訪問進(jìn)程的文件描述符可以找到該文件的相關(guān)信息。

當(dāng)系統(tǒng)中的某個(gè)文件被意外地刪除了，只要這個(gè)時(shí)候系統(tǒng)中還有進(jìn)程正在訪問該文件，那么我們就可以通過lsof從/proc目錄下恢復(fù)該文件的內(nèi)容。 假如由于誤操作將/var/log/messages文件刪除掉了，那么這時(shí)要將/var/log/messages文件恢復(fù)的方法如下：

首先使用lsof來查看當(dāng)前是否有進(jìn)程打開/var/logmessages文件，如下：

# lsof |grep /var/log/messages syslogd 1283 root 2w REG 3,3 5381017 1773647 /var/log/messages (deleted)

從上面的信息可以看到 PID 1283（syslogd）打開文件的文件描述符為 2。同時(shí)還可以看到/var/log/messages已經(jīng)標(biāo)記被刪除了。因此我們可以在 /proc/1283/fd/2 （fd下的每個(gè)以數(shù)字命名的文件表示進(jìn)程對(duì)應(yīng)的文件描述符）中查看相應(yīng)的信息，如下：

# head -n 10 /proc/1283/fd/2

Aug 4 13:50:15 holmes86 syslogd 1.4.1: restart.

Aug 4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started.

Aug 4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 (root@everestbuilder.linux-ren.org) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007

Aug 4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map:

Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000000000 - 000000000009f000 (usable)

Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved)

Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable)

Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000001f7d3800 - 0000000020000000 (reserved)

Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000e0000000 - 00000000f0007000 (reserved)

Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000f0008000 - 00000000f000c000 (reserved)

從上面的信息可以看出，查看 /proc/8663/fd/15 就可以得到所要恢復(fù)的數(shù)據(jù)。如果可以通過文件描述符查看相應(yīng)的數(shù)據(jù)，那么就可以使用 I/O 重定向?qū)⑵鋸?fù)制到文件中，如:

cat /proc/1283/fd/2 > /var/log/messages

對(duì)于許多應(yīng)用程序，尤其是日志文件和數(shù)據(jù)庫，這種恢復(fù)刪除文件的方法非常有用。

完！

最新評(píng)論