lsof(list open files)是一個查看進程打開的文件的工具。
在 linux 系統中,一切皆文件。通過文件不僅僅可以訪問常規數據,還可以訪問網絡連接和硬件。所以 lsof 命令不僅可以查看進程打開的文件、目錄,還可以查看進程監聽的端口等 socket 相關的信息。本文將介紹 lsof 命令的基本用法,本文中 demo 的演示環境為 ubuntu 18.04。
常用選項
-a 指示其它選項之間為與的關系
-c 輸出指定進程所打開的文件
shell wc命令?-d 列出占用該文件號的進程
+d ? 輸出目錄及目錄下被打開的文件和目錄(不遞歸)
+D ? 遞歸輸出及目錄下被打開的文件和目錄
-i ? 輸出符合條件與網絡相關的文件
-n 不解析主機名
-p 輸出指定 PID 的進程所打開的文件
Mysql命令?-P 不解析端口號
-t 只輸出 PID
-u 輸出指定用戶打開的文件
-U 輸出打開的 UNIX domain socket 文件
-h 顯示幫助信息
-v 顯示版本信息
wc命令詳解。基本輸出
如果不帶任何選項執行 lsof 命令,會輸出系統中所有 active 進程打開的所有文件,結果就是我們被輸出的信息所淹沒,這沒有任何的意義。我們先讓 lsof 命令輸出當前 Bash 進程打開的文件,并截取其中的一部分結果來介紹輸出內容中都包含哪些信息:
COMMAND:程序的名稱
PID:進程標識符
USER:進程所有者
FD:文件描述符,應用程序通過文件描述符識別該文件
linux的wc命令、TYPE:文件類型,如 DIR、REG 等
DEVICE:以逗號分隔設備編號
SIZE:文件的大小(bytes)
NODE:索引節點(文件在磁盤上的標識)
NAME:打開文件的確切名稱
下面簡單介紹一下 FD 列和 TYPE 列中的常見內容。
lsof命令詳解?FD 列中的常見內容有 cwd、rtd、txt、mem 和一些數字等等。其中 cwd 表示當前的工作目錄;rtd 表示根目錄;txt 表示程序的可執行文件;mem 表示內存映射文件:
還有一部分 FD 是以數字表示的,比如標準輸入輸出文件:
數字后面的字母表示進程對該文件的讀寫模式,比如上圖中的
u 表示該文件被打開并處于讀取/寫入模式。除了 u,還有 r 表示只讀模式,w 表示只寫模式,還可以同時應用 W
表示該進程擁有對文件寫操作的鎖。下圖是截取的 docker daemon 進程打開的文件列表,其中顯示了 FD 的不同模式:
TYPE 列中常見的 REG 和 DIR 分別表示普通文件和目錄。而 CHR 和 BLK 則分別表示字符和塊設備,unix、fifo 和 IPv4/IPv6 分別表示 UNIX domain 套接字、先進先出(FIFO)隊列和 IPv4/IPv6 套接字。
linux grep命令詳解,下面我們來介紹一些 lsof 命令的常見用法。
查看哪些進程打開了某個文件
直接指定文件的名稱作為 lsof 的參加就可以查看哪些進程打開了這個文件,下面的命令查詢打開了 /bin/bash 文件的進程:
$ sudo lsof /bin/bash
除了普通文件,也可以是設備等文件(下面命令的輸出很長,圖示只是截取的一小部分):
$ sudo lsof /dev/sda1
MySQL nvl。查看哪些進程打開了某個目錄及目錄下的文件
這里分兩種情況,+d 選項不執行遞歸查詢,只查找那些打開了指定目錄以及指定目錄下文件和目錄的進程,比如:
$ sudo lsof +d /var/log
而 +D 選項則會對指定的目錄進行遞歸:
$ sudo lsof +D /var/log
在卸載文件系統時,如果有進程打開了該文件系統中的文件或目錄,卸載操作就會失敗。因此最好在卸載文件系統前通過 lsof +D 檢查文件系統的掛載點,殺掉相關的進程然后再執行卸載操作。
Linux wc。查看某個進程打開的所有文件
通過 -p 選項并指定進程的 PID 可以輸出該進程打開的所有文件。比如我們想要查看 cron 程序打開的文件,可以先用 ps -C cron 命令查出進程的 PID:
然后把該 PID 傳遞給 lsof 命令的 -p 選項:
$ sudo lsof -p 1152
組合多個選項
如果為 lsof 命令指定多個選項,這些選項間默認是或的關系。也就是說滿足任何一個選項的結果都會被輸出。可以添加額外的 -a 選項,它的作用就是讓其它選項之間的關系變為與,比如下面的命令:
MySQL substring?$ sudo lsof -a -p $$ -d0,1,2
其中的 -p 選項指定了當前進程的 PID,而 -d 選項則用來指定進程打開的文件描述符(可以通過逗號分隔多個文件描述符)。添加 -a 選項后,結果輸出為當前進程打開的文件描述符為 0、1、2 的文件。
說明,-a 選項的使用有很多條件,具體請參考 lsof man page。
查看指定名稱的程序打開的文件
通過 -c 選項可以匹配進程運行的程序(可執行文件)名稱。比如我們要查找以字母 cr 開頭的程序打開的文件列表:
$ sudo lsof -c cr
innodb_buffer_pool_instances、還可以同時指定多個 -c 選項,它們之間是或的關系。
如果想對 -c 選項的條件取反,只要在字符串前添加符號 ^ 就可以了,比如:
$ sudo lsof -c ^cr
-c 選項也支持正則表達式,比如下面的命令可以過濾出以 cra 和 cro 開頭的程序打開的文件:
$ sudo lsof -c /cr[ao]/
查看被打開的與網絡相關的文件
isql命令。-i 選項用來查看被打開的和網絡相關的文件,其參數的格式如下:
[46][protocol][@hostname|hostaddr][:service|port]
46 表示 IP 協議的版本
protocol表示網絡協議的名稱,比如 TCP 或 UDP
hostname 或 hostaddr 表示主機地址
service指 /etc/services 中的名稱,比如 smtp 或多個服務的列表
wc命令用法,port表示端口號,可以指定一個或多個
-i 選項默認會同時輸出 IPv4 和 IPv6 打開的文件:
$ sudo lsof -i
只列出 IPv4 或 IPv6 打開的文件
$ sudo lsof -i 4$ sudo lsof -i 6
列出與 22 號端口相關的文件
shell中wc的用法。$ sudo lsof -i:22
列出指定范圍內被打開的 TCP 端口
$ sudo -i TCP:1-1024
查看被打開的 UNIX domain socket 文件
-U 選項輸出打開的 UNIX domain socket 文件,這里我們結合 -c 選項來查看 ssh 服務打開的 UNIX domain socket 文件:
$ sudo lsof -a -c sshd -U
linux指令wc怎么退出?查看某個用戶打開的所有文件
-u 選項可以指定用戶名或 user ID,并且和 -c 選項一樣,可以通過逗號分隔多個用戶名稱或 user ID,也可以通過符號 ^ 對條件取反。
查看某個用戶打開的所有文件
$ sudo lsof -u syslog
查看用戶 nick 打開的網絡相關的文件
$ sudo lsof -a -i -u nick
innodb_thread_concurrency、排除某個用戶
$ sudo lsof -i -u ^nick
注意:在有排除條件時,不需要指定 -a 選項。
殺掉某個用戶打開了文件的所有進程
$ kill -9 $(lsof -t -u nick)
該命令中的 -t 選項讓 lsof 命令只輸出進程的 PID:
linux中wc命令的作用。統計系統打開的文件總數
$ sudo lsof -P -n | wc -l
命令中的 -P 選項表示不解析端口號,-n 選項表示不解析主機名,這兩個選項主要的目的是為了提升 lsof 命令的執行速度。wc -l 命令則用來統計 lsof 命令輸出的行數。
恢復刪除的文件
如果我們一不小心刪除了文件,而又知道這個文本被某個進程打開著,就可以通過 lsof 命令來恢復該文件。具體的原理為:
當進程打開了某個文件時,只要該進程保持打開該文件,即使將文件刪除,它依然存在于磁盤中。進程并不知道文件已經被刪除,它仍然可以通過打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外,這個文件是不可見的,因為已經刪除了其相應的目錄索引節點。
wc命令的作用和格式,進程打開的文件描述符就存放在
/proc/PID/fd 目錄下。/proc
目錄掛載的是在內存中所映射的一塊區域,所以這些文件和目錄并不存在于磁盤中,因此當我們對這些文件進行讀取和寫入時,實際上是在從內存中獲取相關信息。lsof
程序就是使用這些信息和其他關于內核內部狀態的信息來產生其輸出。所以 lsof
可以顯示進程的文件描述符和相關的文件名等信息。也就是說我們通過訪問進程的文件描述符可以找到該文件的相關信息。
下面的 demo 演示如何通過 lsof 命令恢復被誤刪的 /var/log/syslog 文件。
先刪除日志文件 /var/log/syslog,記著要提前備份一下這個文件,以防萬一:
$ sudo rm /var/log/syslog
從上面的信息可以看到 PID 為 1141 的進程打開著該文件,文件描述符為 7,并且顯示該文件已經被刪除了。接下來我們通過 1141 號進程的文件文件描述符來查看該文件的內容:
$ sudo tail -n 5 /proc/1141/fd/7
上圖說明文件 /var/log/syslog 文件的內容還在,并且可以通過文件描述符訪問,接下來通過 IO 重定向的方式重新創建 /var/log/syslog 文件就可以了:
$ sudo sh -c 'cat /proc/1141/fd/7 > /var/log/syslog'
然后修復文件的權限屬性并重啟 rsyslog 服務:
$ sudo chown syslog:adm /var/log/syslog
$ sudo systemctl restart rsyslog.service
這樣就完成了 /var/log/syslog 文件的恢復工作。對于許多應用程序,尤其是日志文件和數據庫文件,都可以通過這種方式來恢復。
幫助
-h 選項會輸出 lsof 命令的幫助信息:
估計這樣的幫助信息也只能逼著你去讀 man page 了!
總結
lsof 并不是一個簡單的命令,從其 man page 的長度就可以體會到這一點。從本文介紹的小 demo 入手或許可以讓你忘記冗長的文檔說明,一步步的開始使用并最終掌握這個命令。
可以列出被進程所打開的文件的信息。被打開的文件可以是
1.普通的文件,2.目錄 ?3.網絡文件系統的文件,4.字符設備文件 ?5.(函數)共享庫 ?6.管道,命名管道?7.符號鏈接
8.底層的socket字流,網絡socket,unix域名socket
9.在linux里面,大部分的東西都是被當做文件的…..還有其他很多
怎樣使用lsof
這里主要用案例的形式來介紹lsof 命令的使用
1.列出所有打開的文件:
lsof
備注: 如果不加任何參數,就會打開所有被打開的文件,建議加上一下參數來具體定位
2.?查看誰正在使用某個文件
lsof ? /filepath/file
3.遞歸查看某個目錄的文件信息
lsof +D /filepath/filepath2/
備注: 使用了+D,對應目錄下的所有子目錄和文件都會被列出
4. 比使用+D選項,遍歷查看某個目錄的所有文件信息 的方法
lsof | grep ‘/filepath/filepath2/’
5. 列出某個用戶打開的文件信息
lsof ?-u username
備注: -u 選項,u其實是user的縮寫
6. 列出某個程序所打開的文件信息
lsof -c mysql
備注: -c 選項將會列出所有以mysql開頭的程序的文件,其實你也可以寫成lsof | grep mysql,但是第一種方法明顯比第二種方法要少打幾個字符了
7. 列出多個程序多打開的文件信息
lsof -c mysql -c apache
8. 列出某個用戶以及某個程序所打開的文件信息
lsof -u?test?-c mysql
9. 列出除了某個用戶外的被打開的文件信息
lsof ? -u ^root
備注:^這個符號在用戶名之前,將會把是root用戶打開的進程不讓顯示
10. 通過某個進程號顯示該進行打開的文件
lsof -p 1
11. 列出多個進程號對應的文件信息
lsof -p 123,456,789
12. 列出除了某個進程號,其他進程號所打開的文件信息
lsof -p ^1
13 . 列出所有的網絡連接
lsof -i
14. 列出所有tcp 網絡連接信息
lsof ?-i tcp
15. 列出所有udp網絡連接信息
lsof ?-i udp
16. 列出誰在使用某個端口
lsof -i :3306
17. 列出誰在使用某個特定的udp端口
lsof -i udp:55
特定的tcp端口
lsof -i tcp:80
18. 列出某個用戶的所有活躍的網絡端口
lsof ?-a -u test -i
19. 列出所有網絡文件系統
lsof -N
20.域名socket文件
lsof -u
21.某個用戶組所打開的文件信息
lsof -g 5555
22. 根據文件描述列出對應的文件信息
lsof -d description(like 2)
23. 根據文件描述范圍列出文件信息
lsof -d 2-3
版权声明:本站所有资料均为网友推荐收集整理而来,仅供学习和研究交流使用。
工作时间:8:00-18:00
客服电话
电子邮件
admin@qq.com
扫码二维码
获取最新动态