如何在linux中使用lsof命令查看文件打開情況
這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)碛嘘P(guān)如何在linux中使用lsof命令查看文件打開情況,文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述�����,閱讀完這篇文章希望大家可以有所收獲���。
lsof命令實(shí)用用法介紹
lsof�����,是list open files的簡(jiǎn)稱����。它的參數(shù)很多���,但是我們這里只介紹一些實(shí)用的用法(注意有些情況需要root權(quán)限執(zhí)行)�����。
查看當(dāng)前打開的所有文件
一般來說���,直接輸入lsof命令產(chǎn)生的結(jié)果實(shí)在是太多����,可能很難找到我們需要的信息�����。不過借此說明一下一條記錄都有哪些信息����。
$ lsof(這里選取一條記錄顯示)
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
vi 27940 hyb 7u REG 8,15 16384 137573 /home/hyb/.1.txt.swp
lsof顯示的結(jié)果,從左往右分別代表:打開該文件的程序名���,進(jìn)程id�,用戶�,文件描述符,文件類型�����,設(shè)備�����,大小�,iNode號(hào),文件名�����。
我們暫且先關(guān)注我們知道的列�。這條記錄,表明進(jìn)程id為27940的vi程序�����,打開了文件描述值為7�����,且處于讀寫狀態(tài)的����,在/home/hyb目錄下的普通文件(REG regular file).1.txt.swap,當(dāng)前大小16384字節(jié)�。
列出被刪除但占用空間的文件
在生產(chǎn)環(huán)境中,我們可能會(huì)使用df命令看到磁盤空間占滿了����,然而實(shí)際上又很難找到占滿空間的文件���,這常常是由于某個(gè)大文件被刪除了,但是它卻被某個(gè)進(jìn)程打開����,導(dǎo)致通過普通的方式找不到它的蹤跡,最常見的就是日志文件���。我們可以通過lsof來發(fā)現(xiàn)這樣的文件:
$ lsof |grep deleted
Xorg 1131 root 125u REG 0,5 4 61026 /memfd:xshmfence (deleted)
Xorg 1131 root 126u REG 0,5 4 62913 /memfd:xshmfence (deleted)
Xorg 1131 root 129u REG 0,5 4 74609 /memfd:xshmfence (deleted)
可以看到這些被刪除的但仍然被打開文件����,最后查找出來的時(shí)候����,會(huì)被標(biāo)記deleted。這個(gè)時(shí)候就可以根據(jù)實(shí)際情況分析����,到底哪些文件可能過大但是卻被刪除了,導(dǎo)致空間仍然占滿����。
恢復(fù)打開但被刪除的文件
前面我們可以找到被刪除但是仍然被打開的文件����,實(shí)際上文件并沒有真正的消失����,如果是意外被刪除的����,我們還有手段恢復(fù)它。以/var/log/syslog文件為例���,我們先刪除它(root用戶):
$ rm /var/log/syslog
然后使用lsof查看那個(gè)進(jìn)程打開了該文件:
$ lsof |grep syslog
rs:main 993 1119 syslog 5w REG 8,10 78419 528470 /var/log/syslog (deleted)
可以找到進(jìn)程id為993的進(jìn)程打開了該文件�����,我們知道每個(gè)進(jìn)程在/proc下都有文件描述符打開的記錄:
$ ls -l /proc/993/fd
lr-x------ 1 root root 64 3月 5 18:30 0 -> /dev/null
l-wx------ 1 root root 64 3月 5 18:30 1 -> /dev/null
l-wx------ 1 root root 64 3月 5 18:30 2 -> /dev/null
lrwx------ 1 root root 64 3月 5 18:30 3 -> socket:[15032]
lr-x------ 1 root root 64 3月 5 18:30 4 -> /proc/kmsg
l-wx------ 1 root root 64 3月 5 18:30 5 -> /var/log/syslog (deleted)
l-wx------ 1 root root 64 3月 5 18:30 6 -> /var/log/auth.log
這里就找到了被刪除的syslog文件,文件描述符是5���,我們把它重定向出來:
$ cat /proc/993/fd/5 > syslog
$ ls -al /var/log/syslog
-rw-r--r-- 1 root root 78493 3月 5 19:22 /var/log/syslog
這樣我們就恢復(fù)了syslog文件。
查看當(dāng)前文件被哪些進(jìn)程打開
Windows下經(jīng)常遇到要?jiǎng)h除某個(gè)文件�����,然后告訴你某個(gè)程序正在使用���,然而不告訴你具體是哪個(gè)程序����。我們可以在資源管理器-性能-資源監(jiān)視器-cpu-關(guān)聯(lián)的句柄處搜索文件,即可找到打開該文件的程序�����,但是搜索速度感人���。
linux就比較容易了���,使用lsof命令就可以了���,例如要查看當(dāng)前哪些程序打開了hello.c:
$ lsof hello.c
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
tail 28731 hyb 3r REG 8,15 228 138441 hello.c
但是我們會(huì)發(fā)現(xiàn),使用vi打開的hello.c并沒有找出來�,這是因?yàn)関i打開的是一個(gè)臨時(shí)副本。我們換一種方式查找:
$ lsof |grep hello.c
tail 28906 hyb 3r REG 8,15 228 138441 /home/hyb/workspaces/c/hello.c
vi 28933 hyb 9u REG 8,15 12288 137573 /home/hyb/workspaces/c/.hello.c.swp
這樣我們就找到了兩個(gè)程序和hello.c文件相關(guān)。
這里grep的作用是從所有結(jié)果中只列出符合條件的結(jié)果����。
查看某個(gè)目錄文件被打開情況
$ lsof +D ./
查看當(dāng)前進(jìn)程打開了哪些文件
使用方法:lsof -c 進(jìn)程名
通常用于程序定位問題����,例如用于查看當(dāng)前進(jìn)程使用了哪些庫(kù),打開了哪些文件等等�。假設(shè)有一個(gè)循環(huán)打印字符的hello程序:
$ lsof -c hello
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
hello 29190 hyb cwd DIR 8,15 4096 134538 /home/hyb/workspaces/c
hello 29190 hyb rtd DIR 8,10 4096 2 /
hello 29190 hyb txt REG 8,15 9816 138314 /home/hyb/workspaces/c/hello
hello 29190 hyb mem REG 8,10 1868984 939763 /lib/x86_64-linux-gnu/libc-2.23.so
hello 29190 hyb mem REG 8,10 162632 926913 /lib/x86_64-linux-gnu/ld-2.23.so
hello 29190 hyb 0u CHR 136,20 0t0 23 /dev/pts/20
hello 29190 hyb 1u CHR 136,20 0t0 23 /dev/pts/20
hello 29190 hyb 2u CHR 136,20 0t0 23 /dev/pts/20
我們可以從中看到,至少它用到了/lib/x86_64-linux-gnu/libc-2.23.so以及hello文件�����。
也可以通過進(jìn)程id查看,可跟多個(gè)進(jìn)程id�,使用逗號(hào)隔開:
$ lsof -p 29190
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
hello 29190 hyb cwd DIR 8,15 4096 134538 /home/hyb/workspaces/c
hello 29190 hyb rtd DIR 8,10 4096 2 /
hello 29190 hyb txt REG 8,15 9816 138314 /home/hyb/workspaces/c/hello
hello 29190 hyb mem REG 8,10 1868984 939763 /lib/x86_64-linux-gnu/libc-2.23.so
hello 29190 hyb mem REG 8,10 162632 926913 /lib/x86_64-linux-gnu/ld-2.23.so
hello 29190 hyb 0u CHR 136,20 0t0 23 /dev/pts/20
hello 29190 hyb 1u CHR 136,20 0t0 23 /dev/pts/20
hello 29190 hyb 2u CHR 136,20 0t0 23 /dev/pts/20
當(dāng)然這里還有一種方式,就是利用proc文件系統(tǒng)�����,首先找到hello進(jìn)程的進(jìn)程id:
$ ps -ef|grep hello
hyb 29190 27929 0 21:14 pts/20 00:00:00 ./hello 2
hyb 29296 28848 0 21:18 pts/22 00:00:00 grep --color=auto hello
可以看到進(jìn)程id為29190����,查看該進(jìn)程文件描述記錄目錄:
$ ls -l /proc/29190/fd
lrwx------ 1 hyb hyb 64 3月 2 21:14 0 -> /dev/pts/20
lrwx------ 1 hyb hyb 64 3月 2 21:14 1 -> /dev/pts/20
lrwx------ 1 hyb hyb 64 3月 2 21:14 2 -> /dev/pts/20
這種方式能夠過濾很多信息,因?yàn)樗涣谐隽嗽撨M(jìn)程實(shí)際打開的���,這里它只打開了0,1,2����,即標(biāo)準(zhǔn)輸入,標(biāo)準(zhǔn)輸出和標(biāo)準(zhǔn)錯(cuò)誤�����。
查看某個(gè)端口被占用情況
在使用數(shù)據(jù)庫(kù)或者啟用web服務(wù)的時(shí)候�����,總能遇到端口占用問題�����,那么怎么查看某個(gè)端口是否被占用呢�?
$ lsof -i :6379
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
redis-ser 29389 hyb 6u IPv6 534612 0t0 TCP *:6379 (LISTEN)
redis-ser 29389 hyb 7u IPv4 534613 0t0 TCP *:6379 (LISTEN)
這里可以看到redis-ser進(jìn)程占用了6379端口。
查看所有的TCP/UDP連接
$ lsof -i tcp
ava 2534 hyb 6u IPv6 31275 0t0 TCP localhost:9614 (LISTEN)
java 2534 hyb 22u IPv6 96922 0t0 TCP localhost:9614->localhost:39004 (ESTABLISHED)
java 2534 hyb 23u IPv6 249588 0t0 TCP localhost:9614->localhost:45460 (ESTABLISHED)
當(dāng)然我們也可以使用netstat命令����。
$ netstat -anp|grep 6379
這里的-i參數(shù)可以跟多種條件:
-i 4 #ipv4地址
-i 6 #ipv6地址
-i tcp #tcp連接
-i :3306 #端口
-i @ip #ip地址
因此需要查看與某個(gè)ip地址建立的連接時(shí),可以使用下面的方式:
$ lsof -i@127.0.0.1
查看某個(gè)用戶打開了哪些文件
linux是一個(gè)多用戶操作系統(tǒng)����,怎么知道其他普通用戶打開了哪些文件呢?可使用-u參數(shù)
$ lsof -u hyb
(內(nèi)容太多,省略)
列出除了某個(gè)進(jìn)程或某個(gè)用戶打開的文件
實(shí)際上和前面使用方法類似�����,只不過���,在進(jìn)程id前面或者用戶名前面加^�����,例如:
lsof -p ^1 #列出除進(jìn)程id為1的進(jìn)程以外打開的文件
lsof -u ^root #列出除root用戶以外打開的文件
總結(jié)
以上介紹基于一個(gè)條件���,實(shí)際上多個(gè)條件可以組合,例如列出進(jìn)程id為1的進(jìn)程打開的tcp套接字文件:
lsof -p 1 -i tcp
什么是Linux系統(tǒng)
Linux是一種免費(fèi)使用和自由傳播的類UNIX操作系統(tǒng)�����,是一個(gè)基于POSIX的多用戶�、多任務(wù)、支持多線程和多CPU的操作系統(tǒng)���,使用Linux能運(yùn)行主要的Unix工具軟件�、應(yīng)用程序和網(wǎng)絡(luò)協(xié)議�。
上述就是小編為大家分享的如何在linux中使用lsof命令查看文件打開情況了,如果剛好有類似的疑惑�,不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)�,歡迎關(guān)注億速云行業(yè)資訊頻道。
