lsof (list open files)是一个列出当前系统打开文件的工具。拥有查看你进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP),找回/恢复删除的文件等功能。
在 Linux 环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息,因此通过 lsof 工具能够查看这个列表对系统监测以及排错将是很有帮助的。
因为 lsof 命令需要访问核心内存和各种文件,所以需要 root 用户执行。
命令格式
lsof [参数] [文件]
命令参数
-a 列出打开文件存在的进程
-c<进程名> 列出指定进程所打开的文件
-g 列出 GID 号进程详情
-d<文件号> 列出占用该文件号的进程
+d<目录> 列出目录下被打开的文件
+D<目录> 递归列出目录下被打开的文件
-n<目录> 列出使用 NFS 的文件
-i<条件> 列出符合条件的进程(4、6、协议、:端口、@ip)
-p<进程号> 列出指定进程号所打开的文件
-u 列出 UID 号进程详情
-h 显示帮助信息
-v 显示版本信息
输出项含义
-
COMMAND
:进程的名称 -
PID
:进程标识符 -
PPID
:父进程标识符(需要指定-R参数) -
USER
:进程所有者 -
PGID
:进程所属组 FD
:文件描述符,应用程序通过文件描述符识别该文件-
cwd
:表示current work dirctory,即:应用程序的当前工作目录,这是该应用程序启动的目录,除非它本身对这个目录进行更改 -
txt
:该类型的文件是程序代码,如应用程序二进制文件本身或共享库,如上列表中显示的/sbin/init
程序 -
lnn
:library references (AIX) -
er
:FD information error (see NAME column) -
jld
:jail directory (FreeBSD) -
ltx
:shared library text (code and data) -
mxx
:hex memory-mapped type number xx -
m86
:DOS Merge mapped file -
mem
:memory-mapped file -
mmap
:memory-mapped device -
pd
:parent directory -
rtd
:root directory -
tr
:kernel trace file (OpenBSD) -
v86
:VP/ix mapped file -
0
:表示标准输出 -
1
:表示标准输入 -
2
:表示标准错误
-
一般在标准输出、标准错误、标准输入后还跟着文件状态模式
-
u
:表示该文件被打开并处于读取/写入模式 -
r
:表示该文件被打开并处于只读模式 -
w
:表示该文件被打开并处于 -
空格
:表示该文件的状态模式为unknow,且没有锁定 -
-
:表示该文件的状态模式为unknow,且被锁定
-
同时在文件状态模式后面,还跟着相关的锁
-
N
:for a Solaris NFS lock of unknown type -
r
:for read lock on part of the file -
R
:for a read lock on the entire file -
w
:for a write lock on part of the file(文件的部分写锁) -
W
:for a write lock on the entire file(整个文件的写锁) -
u
:for a read and write lock of any length -
U
:for a lock of unknown type -
x
:for an SCO OpenServer Xenix lock on part of the file -
X
:for an SCO OpenServer Xenix lock on the entire file -
space
:if there is no lock
-
文件类型:
-
DIR
:表示目录 -
CHR
:表示字符类型 -
BLK
:块设备类型 -
UNIX
: UNIX 域套接字 -
FIFO
:先进先出 (FIFO) 队列 -
IPv4
:网际协议 (IP) 套接字 -
DEVICE
:指定磁盘的名称 -
SIZE
:文件的大小 -
NODE
:索引节点(文件在磁盘上的标识) -
NAME
:打开文件的确切名称
-
应用实例
无任何参数
命令:
lsof
结果:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
init 1 root cwd DIR 252,1 4096 2 /
init 1 root rtd DIR 252,1 4096 2 /
init 1 root txt REG 252,1 150352 131105 /sbin/init
init 1 root mem REG 252,1 66432 655392 /lib64/libnss_files-2.12.so
init 1 root mem REG 252,1 1924768 655376 /lib64/libc-2.12.so
init 1 root DEL REG 252,1 655363 /lib64/libgcc_s-4.4.7-20120601.so.1;5af8ee7f
init 1 root mem REG 252,1 44472 655404 /lib64/librt-2.12.so
init 1 root mem REG 252,1 143280 655400 /lib64/libpthread-2.12.so
init 1 root mem REG 252,1 265728 655457 /lib64/libdbus-1.so.3.4.0
查看使用某个文件的相关进程
命令:
lsof /usr/bin/nginx
结果:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
nginx 1557 root txt REG 252,1 6302521 1324371 /usr/local/nginx/sbin/nginx
nginx 32269 upfor txt REG 252,1 6302521 1324371 /usr/local/nginx/sbin/nginx
nginx 32270 upfor txt REG 252,1 6302521 1324371 /usr/local/nginx/sbin/nginx
递归列出目录下被打开的文件
命令:
lsof +D /opt/gogs/
结果:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
gogs 813 git cwd DIR 252,1 4096 786619 /opt/gogs
gogs 813 git txt REG 252,1 33034400 788325 /opt/gogs/gogs
gogs 813 git 1w REG 252,1 13908 788732 /opt/gogs/log/gogs.log
gogs 813 git 2w REG 252,1 13908 788732 /opt/gogs/log/gogs.log
gogs 813 git 3w REG 252,1 13908 788732 /opt/gogs/log/gogs.log
gogs 813 git 5w REG 252,1 4173 786609 /opt/gogs/log/xorm.log
查看某个进程号打开的所有文件
命令:
lsof -p 9876
结果:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
bash 9876 upfor cwd DIR 252,1 4096 262151 /home/upfor
bash 9876 upfor rtd DIR 252,1 4096 2 /
bash 9876 upfor txt REG 252,1 906568 1180898 /bin/bash
bash 9876 upfor mem REG 252,1 66432 655392 /lib64/libnss_files-2.12.so
bash 9876 upfor mem REG 252,1 99174448 1053279 /usr/lib/locale/locale-archive
bash 9876 upfor mem REG 252,1 1924768 655376 /lib64/libc-2.12.so
bash 9876 upfor mem REG 252,1 20024 655382 /lib64/libdl-2.12.so
bash 9876 upfor mem REG 252,1 132408 655419 /lib64/libtinfo.so.5.7
bash 9876 upfor mem REG 252,1 159312 655765 /lib64/ld-2.12.so
bash 9876 upfor mem REG 252,1 26060 735 /usr/lib64/gconv/gconv-modules.cache
bash 9876 upfor 0u CHR 136,0 0t0 3 /dev/pts/0
bash 9876 upfor 1u CHR 136,0 0t0 3 /dev/pts/0
bash 9876 upfor 2u CHR 136,0 0t0 3 /dev/pts/0
bash 9876 upfor 255u CHR 136,0 0t0 3 /dev/pts/0
查看某个进程名打开的所有文件
命令:
lsof -c gogs
结果:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
gogs 813 git cwd DIR 252,1 4096 786619 /opt/gogs
gogs 813 git rtd DIR 252,1 4096 2 /
gogs 813 git txt REG 252,1 33034400 788325 /opt/gogs/gogs
gogs 813 git mem REG 252,1 10312 131077 /lib64/libfreebl3.so
gogs 813 git mem REG 252,1 40872 131091 /lib64/libcrypt-2.12.so
gogs 813 git mem REG 252,1 145864 131141 /lib64/libaudit.so.1.0.0
gogs 813 git mem REG 252,1 1924768 131087 /lib64/libc-2.12.so
gogs 813 git mem REG 252,1 55848 131194 /lib64/libpam.so.0.82.2
gogs 813 git mem REG 252,1 143280 131111 /lib64/libpthread-2.12.so
查看某个用户打开的所有文件
命令:
lsof -u upfor
结果:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 9875 upfor cwd DIR 252,1 4096 2 /
sshd 9875 upfor rtd DIR 252,1 4096 2 /
sshd 9875 upfor txt REG 252,1 575192 1053029 /usr/sbin/sshd
sshd 9875 upfor mem REG 252,1 18600 655508 /lib64/security/pam_limits.so
sshd 9875 upfor mem REG 252,1 10224 655506 /lib64/security/pam_keyinit.so
sshd 9875 upfor mem REG 252,1 43664 655515 /lib64/security/pam_namespace.so
sshd 9875 upfor mem REG 252,1 10240 655511 /lib64/security/pam_loginuid.so
sshd 9875 upfor mem REG 252,1 18672 655523 /lib64/security/pam_selinux.so
sshd 9875 upfor mem REG 252,1 38712 1050920 /usr/lib64/libcrack.so.2.8.1
列出除了某个用户外的被打开的文件信息
^
符号在用户名之前,将打开除了指定用户的所有
命令:
lsof -u ^root,^upfor /opt/gogs/gogs
结果:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
gogs 813 git txt REG 252,1 33034400 788325 /opt/gogs/gogs
列出多个进程号对应的文件信息
命令:
lsof -p 9183,26655
结果:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
node 9183 upfor cwd DIR 252,1 4096 793672 /opt/wwwroot/adminmongo
node 9183 upfor rtd DIR 252,1 4096 2 /
node 9183 upfor txt REG 252,1 35166327 1311267 /home/upfor/.nvm/versions/node/v9.7.1/bin/node
nginx 26655 root cwd DIR 252,1 4096 786526 /opt/soft/lnmp1.3-full/src
nginx 26655 root rtd DIR 252,1 4096 2 /
nginx 26655 root txt REG 252,1 6302561 2104091 /usr/local/nginx/sbin/nginx
列出除了某个进程号以外的所有进程打开的文件信息
lsof -p ^9183,^26655
列出所有的网络连接信息
命令:
lsof -i
结果:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
gogs 813 git 6u IPv4 169848266 0t0 TCP localhost:44618->localhost:wg-netforce (ESTABLISHED)
gogs 813 git 7u IPv4 169848435 0t0 TCP *:videobeans (LISTEN)
gogs 813 git 8u IPv4 169848437 0t0 TCP *:hbci (LISTEN)
gogs 813 git 9u IPv4 169855669 0t0 TCP localhost:44810->localhost:wg-netforce (ESTABLISHED)
dhclient 1024 root 5u IPv4 8209 0t0 UDP *:bootpc
sshd 4867 root 3r IPv4 169915790 0t0 TCP 172.17.237.72:3121->106.38.109.107:63404 (ESTABLISHED)
sshd 4869 upfor 3u IPv4 169915790 0t0 TCP 172.17.237.72:3121->106.38.109.107:63404 (ESTABLISHED)
mongod 5528 mongod 11u IPv4 148220028 0t0 TCP *:27017 (LISTEN)
node 9183 upfor 12u IPv4 86839478 0t0 TCP *:csvr-proxy (LISTEN)
nginx 9528 upfor 3u IPv4 169925193 0t0 TCP 172.17.237.72:http->162.158.107.20:19705 (ESTABLISHED)
nginx 9528 upfor 6u IPv4 252198 0t0 TCP *:http (LISTEN)
列出所有 tcp 网络连接信息
命令:
lsof -i tcp
结果:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
gogs 813 git 6u IPv4 169848266 0t0 TCP localhost:44618->localhost:wg-netforce (ESTABLISHED)
gogs 813 git 7u IPv4 169848435 0t0 TCP *:videobeans (LISTEN)
gogs 813 git 8u IPv4 169848437 0t0 TCP *:hbci (LISTEN)
gogs 813 git 9u IPv4 169855669 0t0 TCP localhost:44810->localhost:wg-netforce (ESTABLISHED)
sshd 4867 root 3r IPv4 169915790 0t0 TCP 172.17.237.72:3121->106.38.109.107:63404 (ESTABLISHED)
sshd 4869 upfor 3u IPv4 169915790 0t0 TCP 172.17.237.72:3121->106.38.109.107:63404 (ESTABLISHED)
mongod 5528 mongod 11u IPv4 148220028 0t0 TCP *:27017 (LISTEN)
node 9183 upfor 12u IPv4 86839478 0t0 TCP *:csvr-proxy (LISTEN)
nginx 9528 upfor 3u IPv4 169928311 0t0 TCP 172.17.237.72:http->47.92.144.188:59956 (ESTABLISHED)
列出所有 udp 网络连接信息
lsof -i udp
列出谁在使用某个端口
lsof -i :80
列出谁在使用某个特定的 tcp 端口
lsof -i tcp:8080
列出某个用户的所有活跃的网络端口
命令:
lsof -a -u upfor -i
结果:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
node 9183 upfor 12u IPv4 86839478 0t0 TCP *:csvr-proxy (LISTEN)
nginx 9528 upfor 3u IPv4 169931455 0t0 TCP 172.17.237.72:http->108.162.245.155:14185 (ESTABLISHED)
nginx 9528 upfor 6u IPv4 252198 0t0 TCP *:http (LISTEN)
nginx 9528 upfor 7u IPv4 169930700 0t0 TCP 172.17.237.72:http->hn.kd.ny.adsl:19235 (ESTABLISHED)
nginx 9528 upfor 16u IPv4 57891175 0t0 TCP *:https (LISTEN)
列出所有网络文件系统
lsof -N
某个用户组所打开的文件信息
lsof -g 501
参考资料
原文地址:
https://shockerli.net/post/li…更多文章请访问我的个人博客:
https://shockerli.net