lsof 命令怎么在Linux中使用

lsof 命令怎么在Linux中使用？相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策，為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法，通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。

lsof（list open files）是一個(gè)列出當(dāng)前系統(tǒng)打開(kāi)文件的工具。在linux環(huán)境下，任何事物都以文件的形式存在，通過(guò)文件不僅僅可以訪問(wèn)常規(guī)數(shù)據(jù)，還可以訪問(wèn)網(wǎng)絡(luò)連接和硬件。所以如傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 套接字等，系統(tǒng)在后臺(tái)都為該應(yīng)用程序分配了一個(gè)文件描述符，無(wú)論這個(gè)文件的本質(zhì)如何，該文件描述符為應(yīng)用程序與基礎(chǔ)操作系統(tǒng)之間的交互提供了通用接口。因?yàn)閼?yīng)用程序打開(kāi)文件的描述符列表提供了大量關(guān)于這個(gè)應(yīng)用程序本身的信息，因此通過(guò)lsof工具能夠查看這個(gè)列表對(duì)系統(tǒng)監(jiān)測(cè)以及排錯(cuò)將是很有幫助的。

例如：傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 套接字等，系統(tǒng)在后臺(tái)都為該應(yīng)用程序分配了一個(gè)文件描述符，無(wú)論這個(gè)文件的本質(zhì)如何，該文件描述符為應(yīng)用程序與基礎(chǔ)操作系統(tǒng)之間的交互提供了通用接口。因?yàn)閼?yīng)用程序打開(kāi)文件的描述符列表提供了大量關(guān)于這個(gè)應(yīng)用程序本身的信息，因此通過(guò)lsof工具能夠查看這個(gè)列表，對(duì)系統(tǒng)監(jiān)測(cè)和排錯(cuò)很有幫助。

字段含義
在終端下輸入lsof 即可顯示系統(tǒng)打開(kāi)的文件， lsof 一般需要訪問(wèn)核心內(nèi)存和各種文件，所以必須以 root 用戶的身份運(yùn)行它才能夠充分地發(fā)揮其功能。

每行顯示一個(gè)打開(kāi)的文件，若不指定條件默認(rèn)將顯示所有進(jìn)程打開(kāi)的所有文件。lsof輸出各列信息的意義如下：

COMMAND： 進(jìn)程的名稱
PID： 進(jìn)程標(biāo)識(shí)符
USER： 進(jìn)程所有者
FD： 文件描述符，應(yīng)用程序通過(guò)文件描述符識(shí)別該文件。如cwd、txt等
TYPE： 文件類型，如DIR、REG等
DEVICE： 指定磁盤的名稱
SIZE： 文件的大小
NODE： 索引節(jié)點(diǎn)（文件在磁盤上的標(biāo)識(shí)）
NAME： 打開(kāi)文件的確切名稱

其中：
FD 列中的文件描述符cwd 值表示應(yīng)用程序的當(dāng)前工作目錄，這是該應(yīng)用程序啟動(dòng)的目錄，除非它本身對(duì)這個(gè)目錄進(jìn)行更改。
txt 類型的文件是程序代碼，如應(yīng)用程序二進(jìn)制文件本身或共享庫(kù)，如上列表中顯示的 /sbin/init 程序。
數(shù)值，表示應(yīng)用程序的文件描述符，這是打開(kāi)該文件時(shí)返回的一個(gè)整數(shù)。如上的最后一行文件/dev/null，其文件描述符為 2u。這里 u 表示該文件被打開(kāi)并處于讀取/寫(xiě)入模式，而不是只讀 (r) 或只寫(xiě) (w) 模式。同時(shí)還有大寫(xiě) 的W 表示該應(yīng)用程序具有對(duì)整個(gè)文件的寫(xiě)鎖。該文件描述符用于確保每次只能打開(kāi)一個(gè)應(yīng)用程序?qū)嵗?。初始打開(kāi)每個(gè)應(yīng)用程序時(shí)，都具有三個(gè)文件描述符，從 0 到 2，分別表示標(biāo)準(zhǔn)輸入、輸出、錯(cuò)誤流。所以大多數(shù)應(yīng)用程序所打開(kāi)的文件的 FD 都是從 3 開(kāi)始。

與 FD 列相比，Type 列則比較直觀。文件和目錄分別稱為 REG 和 DIR； 而CHR 和 BLK，分別表示字符和塊設(shè)備；或者 UNIX、FIFO 和 IPv4，分別表示 UNIX 域套接字、先進(jìn)先出 (FIFO) 隊(duì)列，網(wǎng)際協(xié)議 (IP) 套接字。

====== lsof使用 ======

lsof命令是什么？

可以列出被進(jìn)程所打開(kāi)的文件的信息。被打開(kāi)的文件可以是
1.普通的文件，2.目錄 3.網(wǎng)絡(luò)文件系統(tǒng)的文件，4.字符設(shè)備文件 5.(函數(shù))共享庫(kù) 6.管道，命名管道 7.符號(hào)鏈接
8.底層的socket字流，網(wǎng)絡(luò)socket，unix域名socket
9.在linux里面，大部分的東西都是被當(dāng)做文件的…..還有其他很多
怎樣使用lsof
這里主要用案例的形式來(lái)介紹lsof 命令的使用
1.列出所有打開(kāi)的文件:
lsof
備注: 如果不加任何參數(shù)，就會(huì)打開(kāi)所有被打開(kāi)的文件，建議加上一下參數(shù)來(lái)具體定位
2. 查看誰(shuí)正在使用某個(gè)文件
lsof /filepath/file
3.遞歸查看某個(gè)目錄的文件信息
lsof +D /filepath/filepath3/
備注: 使用了+D，對(duì)應(yīng)目錄下的所有子目錄和文件都會(huì)被列出
4. 比使用+D選項(xiàng)，遍歷查看某個(gè)目錄的所有文件信息 的方法
lsof | grep ‘/filepath/filepath3/’
5. 列出某個(gè)用戶打開(kāi)的文件信息
lsof -u username
備注: -u 選項(xiàng)，u其實(shí)是user的縮寫(xiě)
6. 列出某個(gè)程序所打開(kāi)的文件信息
lsof -c mysql
備注: -c 選項(xiàng)將會(huì)列出所有以mysql開(kāi)頭的程序的文件，其實(shí)你也可以寫(xiě)成 lsof | grep mysql, 但是第一種方法明顯比第二種方法要少打幾個(gè)字符了
7. 列出多個(gè)程序多打開(kāi)的文件信息
lsof -c mysql -c apache
8. 列出某個(gè)用戶以及某個(gè)程序所打開(kāi)的文件信息
lsof -u test -c mysql
9. 列出除了某個(gè)用戶外的被打開(kāi)的文件信息
lsof -u ^root
備注：^這個(gè)符號(hào)在用戶名之前，將會(huì)把是root用戶打開(kāi)的進(jìn)程不讓顯示
10. 通過(guò)某個(gè)進(jìn)程號(hào)顯示該進(jìn)行打開(kāi)的文件
lsof -p 1
11. 列出多個(gè)進(jìn)程號(hào)對(duì)應(yīng)的文件信息
lsof -p 123,456,789
12. 列出除了某個(gè)進(jìn)程號(hào)，其他進(jìn)程號(hào)所打開(kāi)的文件信息
lsof -p ^1
13 . 列出所有的網(wǎng)絡(luò)連接
lsof -i
14. 列出所有tcp 網(wǎng)絡(luò)連接信息
lsof -i tcp
15. 列出所有udp網(wǎng)絡(luò)連接信息
lsof -i udp
16. 列出誰(shuí)在使用某個(gè)端口
lsof -i :3306
17. 列出誰(shuí)在使用某個(gè)特定的udp端口
lsof -i udp:55
特定的tcp端口
lsof -i tcp:80
18. 列出某個(gè)用戶的所有活躍的網(wǎng)絡(luò)端口
lsof -a -u test -i
19. 列出所有網(wǎng)絡(luò)文件系統(tǒng)
lsof -N
20.域名socket文件
lsof -u
21.某個(gè)用戶組所打開(kāi)的文件信息
lsof -g 5555
22. 根據(jù)文件描述列出對(duì)應(yīng)的文件信息
lsof -d description(like 2)
23. 根據(jù)文件描述范圍列出文件信息
lsof -d 2-3

===== lsof輸出信息含義 =====

在終端下輸入lsof即可顯示系統(tǒng)打開(kāi)的文件，因?yàn)?lsof 需要訪問(wèn)核心內(nèi)存和各種文件，所以必須以 root 用戶的身份運(yùn)行它才能夠充分地發(fā)揮其功能。

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root cwd DIR 3,3 1024 2 /
init 1 root rtd DIR 3,3 1024 2 /
init 1 root txt REG 3,3 38432 1763452 /sbin/init
init 1 root mem REG 3,3 106114 1091620 /lib/libdl-2.6.so
init 1 root mem REG 3,3 7560696 1091614 /lib/libc-2.6.so
init 1 root mem REG 3,3 79460 1091669 /lib/libselinux.so.1
init 1 root mem REG 3,3 223280 1091668 /lib/libsepol.so.1
init 1 root mem REG 3,3 564136 1091607 /lib/ld-2.6.so
init 1 root 10u FIFO 0,15 1309 /dev/initctl


每行顯示一個(gè)打開(kāi)的文件，若不指定條件默認(rèn)將顯示所有進(jìn)程打開(kāi)的所有文件。lsof輸出各列信息的意義如下：

COMMAND：進(jìn)程的名稱
PID：進(jìn)程標(biāo)識(shí)符
USER：進(jìn)程所有者
FD：文件描述符，應(yīng)用程序通過(guò)文件描述符識(shí)別該文件。如cwd、txt等
TYPE：文件類型，如DIR、REG等
DEVICE：指定磁盤的名稱
SIZE：文件的大小
NODE：索引節(jié)點(diǎn)（文件在磁盤上的標(biāo)識(shí)）
NAME：打開(kāi)文件的確切名稱

其中FD 列中的文件描述符cwd 值表示應(yīng)用程序的當(dāng)前工作目錄，這是該應(yīng)用程序啟動(dòng)的目錄，除非它本身對(duì)這個(gè)目錄進(jìn)行更改。txt 類型的文件是程序代碼，如應(yīng)用程序二進(jìn)制文件本身或共享庫(kù)，如上列表中顯示的 /sbin/init 程序。其次數(shù)值表示應(yīng)用程序的文件描述符，這是打開(kāi)該文件時(shí)返回的一個(gè)整數(shù)。如上的最后一行文件/dev/initctl，其文件描述符為 10。u 表示該文件被打開(kāi)并處于讀取/寫(xiě)入模式，而不是只讀 (r) 或只寫(xiě) (w) 模式。同時(shí)還有大寫(xiě) 的W 表示該應(yīng)用程序具有對(duì)整個(gè)文件的寫(xiě)鎖。該文件描述符用于確保每次只能打開(kāi)一個(gè)應(yīng)用程序?qū)嵗?。初始打開(kāi)每個(gè)應(yīng)用程序時(shí)，都具有三個(gè)文件描述符，從 0 到 2，分別表示標(biāo)準(zhǔn)輸入、輸出和錯(cuò)誤流。所以大多數(shù)應(yīng)用程序所打開(kāi)的文件的 FD 都是從 3 開(kāi)始。

與 FD 列相比，Type 列則比較直觀。文件和目錄分別稱為 REG 和 DIR。而CHR 和 BLK，分別表示字符和塊設(shè)備；或者 UNIX、FIFO 和 IPv4，分別表示 UNIX 域套接字、先進(jìn)先出 (FIFO) 隊(duì)列和網(wǎng)際協(xié)議 (IP) 套接字。

===== lsof常用參數(shù) =====


lsof 常見(jiàn)的用法是查找應(yīng)用程序打開(kāi)的文件的名稱和數(shù)目?？捎糜诓檎页瞿硞€(gè)特定應(yīng)用程序?qū)⑷罩緮?shù)據(jù)記錄到何處，或者正在跟蹤某個(gè)問(wèn)題。例如，linux限制了進(jìn)程能夠打開(kāi)文件的數(shù)目。通常這個(gè)數(shù)值很大，所以不會(huì)產(chǎn)生問(wèn)題，并且在需要時(shí)，應(yīng)用程序可以請(qǐng)求更大的值（直到某個(gè)上限）。如果你懷疑應(yīng)用程序耗盡了文件描述符，那么可以使用 lsof 統(tǒng)計(jì)打開(kāi)的文件數(shù)目，以進(jìn)行驗(yàn)證。lsof語(yǔ)法格式是：

lsof ［options］ filename

常用的參數(shù)列表：

lsof filename 顯示打開(kāi)指定文件的所有進(jìn)程
lsof -a 表示兩個(gè)參數(shù)都必須滿足時(shí)才顯示結(jié)果
lsof -c string 顯示COMMAND列中包含指定字符的進(jìn)程所有打開(kāi)的文件
lsof -u username 顯示所屬user進(jìn)程打開(kāi)的文件
lsof -g gid 顯示歸屬gid的進(jìn)程情況
lsof +d /DIR/ 顯示目錄下被進(jìn)程打開(kāi)的文件
lsof +D /DIR/ 同上，但是會(huì)搜索目錄下的所有目錄，時(shí)間相對(duì)較長(zhǎng)
lsof -d FD 顯示指定文件描述符的進(jìn)程
lsof -n 不將IP轉(zhuǎn)換為hostname，缺省是不加上-n參數(shù)
lsof -i 用以顯示符合條件的進(jìn)程情況
lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
46 --> IPv4 or IPv6
protocol --> TCP or UDP
hostname --> Internet host name
hostaddr --> IPv4地址
service --> /etc/service中的 service name (可以不只一個(gè))
port --> 端口號(hào) (可以不只一個(gè))


例如： 查看22端口現(xiàn)在運(yùn)行的情況

# lsof -i :22
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 1409 root 3u IPv6 5678 TCP *:ssh (LISTEN)


查看所屬root用戶進(jìn)程所打開(kāi)的文件類型為txt的文件:

# lsof -a -u root -d txt
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root txt REG 3,3 38432 1763452 /sbin/init
mingetty 1632 root txt REG 3,3 14366 1763337 /sbin/mingetty
mingetty 1633 root txt REG 3,3 14366 1763337 /sbin/mingetty
mingetty 1634 root txt REG 3,3 14366 1763337 /sbin/mingetty
mingetty 1635 root txt REG 3,3 14366 1763337 /sbin/mingetty
mingetty 1636 root txt REG 3,3 14366 1763337 /sbin/mingetty
mingetty 1637 root txt REG 3,3 14366 1763337 /sbin/mingetty
kdm 1638 root txt REG 3,3 132548 1428194 /usr/bin/kdm
X 1670 root txt REG 3,3 1716396 1428336 /usr/bin/Xorg
kdm 1671 root txt REG 3,3 132548 1428194 /usr/bin/kdm
startkde 2427 root txt REG 3,3 645408 1544195 /bin/bash
... ...


=====lsof使用實(shí)例 =====

==== 一、查找誰(shuí)在使用文件系統(tǒng) ====

在卸載文件系統(tǒng)時(shí)，如果該文件系統(tǒng)中有任何打開(kāi)的文件，操作通常將會(huì)失敗。那么通過(guò)lsof可以找出那些進(jìn)程在使用當(dāng)前要卸載的文件系統(tǒng)，如下：


# lsof /GTES11/
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
bash 4208 root cwd DIR 3,1 4096 2 /GTES11/
vim 4230 root cwd DIR 3,1 4096 2 /GTES11/


在這個(gè)示例中，用戶root正在其/GTES11目錄中進(jìn)行一些操作。一個(gè) bash是實(shí)例正在運(yùn)行，并且它當(dāng)前的目錄為/GTES11，另一個(gè)則顯示的是vim正在編輯/GTES11下的文件。要成功地卸載/GTES11，應(yīng)該在通知用戶以確保情況正常之后，中止這些進(jìn)程。
這個(gè)示例說(shuō)明了應(yīng)用程序的當(dāng)前工作目錄非常重要，因?yàn)樗员３种募Y源，并且可以防止文件系統(tǒng)被卸載。這就是為什么大部分守護(hù)進(jìn)程（后臺(tái)進(jìn)程）將它們的目錄更改為根目錄、或服務(wù)特定的目錄（如 sendmail 示例中的 /var/spool/mqueue）的原因，以避免該守護(hù)進(jìn)程阻止卸載不相關(guān)的文件系統(tǒng)。

==== 二、恢復(fù)刪除的文件 ====


當(dāng)Linux計(jì)算機(jī)受到入侵時(shí)，常見(jiàn)的情況是日志文件被刪除，以掩蓋攻擊者的蹤跡。管理錯(cuò)誤也可能導(dǎo)致意外刪除重要的文件，比如在清理舊日志時(shí)，意外地刪除了數(shù)據(jù)庫(kù)的活動(dòng)事務(wù)日志。有時(shí)可以通過(guò)lsof來(lái)恢復(fù)這些文件。

當(dāng)進(jìn)程打開(kāi)了某個(gè)文件時(shí)，只要該進(jìn)程保持打開(kāi)該文件，即使將其刪除，它依然存在于磁盤中。這意味著，進(jìn)程并不知道文件已經(jīng)被刪除，它仍然可以向打開(kāi)該文件時(shí)提供給它的文件描述符進(jìn)行讀取和寫(xiě)入。除了該進(jìn)程之外，這個(gè)文件是不可見(jiàn)的，因?yàn)橐呀?jīng)刪除了其相應(yīng)的目錄索引節(jié)點(diǎn)。

在/proc 目錄下，其中包含了反映內(nèi)核和進(jìn)程樹(shù)的各種文件。/proc目錄掛載的是在內(nèi)存中所映射的一塊區(qū)域，所以這些文件和目錄并不存在于磁盤中，因此當(dāng)我們對(duì)這些文件進(jìn)行讀取和寫(xiě)入時(shí)，實(shí)際上是在從內(nèi)存中獲取相關(guān)信息。大多數(shù)與 lsof 相關(guān)的信息都存儲(chǔ)于以進(jìn)程的 PID 命名的目錄中，即 /proc/1234 中包含的是 PID 為 1234 的進(jìn)程的信息。每個(gè)進(jìn)程目錄中存在著各種文件，它們可以使得應(yīng)用程序簡(jiǎn)單地了解進(jìn)程的內(nèi)存空間、文件描述符列表、指向磁盤上的文件的符號(hào)鏈接和其他系統(tǒng)信息。lsof 程序使用該信息和其他關(guān)于內(nèi)核內(nèi)部狀態(tài)的信息來(lái)產(chǎn)生其輸出。所以lsof 可以顯示進(jìn)程的文件描述符和相關(guān)的文件名等信息。也就是我們通過(guò)訪問(wèn)進(jìn)程的文件描述符可以找到該文件的相關(guān)信息。

當(dāng)系統(tǒng)中的某個(gè)文件被意外地刪除了，只要這個(gè)時(shí)候系統(tǒng)中還有進(jìn)程正在訪問(wèn)該文件，那么我們就可以通過(guò)lsof從/proc目錄下恢復(fù)該文件的內(nèi)容。 假如由于誤操作將/var/log/messages文件刪除掉了，那么這時(shí)要將/var/log/messages文件恢復(fù)的方法如下：

首先使用lsof來(lái)查看當(dāng)前是否有進(jìn)程打開(kāi)/var/logmessages文件，如下：

# lsof |grep /var/log/messages
syslogd 1283 root 2w REG 3,3 5381017 1773647 /var/log/messages (deleted)


從上面的信息可以看到 PID 1283（syslogd）打開(kāi)文件的文件描述符為 2。同時(shí)還可以看到/var/log/messages已經(jīng)標(biāo)記被刪除了。因此我們可以在 /proc/1283/fd/2 （fd下的每個(gè)以數(shù)字命名的文件表示進(jìn)程對(duì)應(yīng)的文件描述符）中查看相應(yīng)的信息，如下：

# head -n 10 /proc/1283/fd/2
Aug 4 13:50:15 holmes86 syslogd 1.4.1: restart.
Aug 4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started.
Aug 4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 (root@everestbuilder.linux-ren.org) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007
Aug 4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map:
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000000000 - 000000000009f000 (usable)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000001f7d3800 - 0000000020000000 (reserved)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000e0000000 - 00000000f0007000 (reserved)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000f0008000 - 00000000f000c000 (reserved)


從上面的信息可以看出，查看 /proc/8663/fd/15 就可以得到所要恢復(fù)的數(shù)據(jù)。如果可以通過(guò)文件描述符查看相應(yīng)的數(shù)據(jù)，那么就可以使用 I/O 重定向?qū)⑵鋸?fù)制到文件中，如:

cat /proc/1283/fd/2 > /var/log/messages

看完上述內(nèi)容，你們掌握l(shuí)sof 命令怎么在Linux中使用的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！