lsof命令的幾個(gè)妙用

lsof（list open files）是一個(gè)列出當(dāng)前系統(tǒng)打開文件的工具。在linux環(huán)境下，任何事物都以文件的形式存在，通過文件不僅僅可以訪問常規(guī)數(shù)據(jù)，還可以訪問網(wǎng)絡(luò)連接和硬件。

可以被打開的文件可以是：1.普通的文件，2.目錄  3.網(wǎng)絡(luò)文件系統(tǒng)的文件，4.字符設(shè)備文件  5.(函數(shù))共享庫  6.管道，命名管道 7.符號(hào)鏈接 8.底層的socket字流，網(wǎng)絡(luò)socket，unix域名........還有其他很多.

在終端下輸入lsof命令即可顯示系統(tǒng)打開的文件，因?yàn)?lsof 需要訪問核心內(nèi)存和各種文件，所以必須以 root 用戶的身份運(yùn)行它才能夠充分地發(fā)揮其功能。

一、查看某端口被什么進(jìn)程占用

一次在客戶現(xiàn)場(chǎng)，幫客戶調(diào)TOMCAT，啟動(dòng)TOMCAT的時(shí)候報(bào)8080端口被占用

查看某端口被某個(gè)進(jìn)程占用

#lsof  -i  :8080

COMMAND   PID USER   FD   TYPE   DEVICE SIZE NODE NAME

httpd    13017 root  490u  IPv4 23881972       TCP *:8080 (LISTEN)

從這里看出是被HTTPD進(jìn)程占用，之前客戶說是IBM的IHS軟件已停止，看來并沒有真正停止導(dǎo)致端口被占用

#kill -9  13017

殺掉這個(gè)進(jìn)程后，再啟TOMCAT后正常了

二、查看所屬用戶進(jìn)程所打開的某種類型的文件

比如查看root用戶進(jìn)程所打開的文件類型為txt的文件

# lsof -a -u root -d txt

auditd     2639 root txt       REG    3,2  102136  44536 /sbin/auditd

owcimomd   2643 root txt       REG    3,2   24560  90676 /usr/sbin/owcimomd

irqbalanc  2737 root txt       REG    3,2   25880  62557 /usr/sbin/irqbalance

nscd       2771 root txt       REG    3,2  129908  44802 /usr/sbin/nscd

vsftpd     2809 root txt       REG    3,2  129792 132934 /usr/sbin/vsftpd

xinetd     2812 root txt       REG    3,2  165952  60679 /usr/sbin/xinetd

smpppd     2825 root txt       REG    3,2  193752  99524 /usr/sbin/smpppd

sshd       2827 root txt       REG    3,2  376768  98762 /usr/sbin/sshd

zmd        2847 root txt       REG    3,2 1895856  86524 /usr/bin/mono

gdm        2893 root txt       REG    3,2  268424 126353 /opt/gnome/sbin/gdm

三、查找誰在使用某個(gè)文件系統(tǒng)

在卸載文件系統(tǒng)時(shí)，如果該文件系統(tǒng)中有任何打開的文件，操作通常將會(huì)失敗。那么通過lsof可以找出那些進(jìn)程在使用當(dāng)前要卸載的文件系統(tǒng)。

在這個(gè)示例中，用戶root正在其/testdata目錄中進(jìn)行一些操作。一個(gè) bash是實(shí)例正在運(yùn)行，并且它當(dāng)前的目錄為/testdata，另一個(gè)則顯示的是vim正在編輯/testdata下的文件。如果要成功地卸載/testdata，應(yīng)該在通知用戶以確保情況正常之后，中止這些進(jìn)程。 這個(gè)示例說明了應(yīng)用程序的當(dāng)前工作目錄非常重要，因?yàn)樗员３种募Y源，并且可以防止文件系統(tǒng)被卸載。這就是為什么大部分守護(hù)進(jìn)程（后臺(tái)進(jìn)程）將它們的目錄更改為根目錄、或服務(wù)特定的目錄（如 sendmail 示例中的 /var/spool/mqueue）的原因，以避免該守護(hù)進(jìn)程阻止卸載不相關(guān)的文件系統(tǒng)。

四、列出相關(guān)信息

1、列出某個(gè)用戶打開的文件信息

lsof  -u username

備注: -u 選項(xiàng)，u其實(shí)是user的縮寫

如 # lsof -u db2inst1

COMMAND  PID     USER   FD   TYPE   DEVICE       SIZE       NODE NAME

db2sysc 4390 db2inst1  DEL    REG      0,8                294917 /SYSV33984761

db2sysc 4390 db2inst1  DEL    REG      0,8                327686 /SYSV00000000

db2sysc 4390 db2inst1  mem    REG      3,2     132847      19074 /lib64/ld-2.4.so

db2sysc 4390 db2inst1  mem    REG      3,2     217016     158186 /var/run/nscd/passwd

db2sysc 4390 db2inst1  mem    REG      3,2     123722      19107 /lib64/libpthread-2.4.so

db2sysc 4390 db2inst1  mem    REG      3,2  102866497     137967 /opt/ibm/db2/V9.7/lib64/libdb2e.so.1

db2sysc 4390 db2inst1  mem    REG      3,2    7889612     135807 /opt/ibm/db2/V9.7/lib64/libdb2osse.so.1

db2sysc 4390 db2inst1  mem    REG      3,2     399985      19089 /lib64/libm-2.4.so

2. 列出某個(gè)程序所打開的文件信息

#lsof -c mysql

備注: -c 選項(xiàng)將會(huì)列出所有以mysql開頭的程序的文件，其實(shí)你也可以寫成 lsof | grep mysql, 但是第一種方法明顯比第二種方法要少打幾個(gè)字符了

3. 列出多個(gè)程序多打開的文件信息

#lsof -c mysql -c apache

4. 列出某個(gè)用戶以及某個(gè)程序所打開的文件信息

#lsof -u test -c mysql

5. 列出除了某個(gè)用戶外的被打開的文件信息

#lsof   -u ^root

備注：^這個(gè)符號(hào)在用戶名之前，將會(huì)把是root用戶打開的進(jìn)程不讓顯示

6. 通過某個(gè)進(jìn)程號(hào)顯示該進(jìn)程打開的文件

#lsof -p 19552

COMMAND     PID USER   FD   TYPE             DEVICE    SIZE       NODE NAME

rpc.mount 19552 root  cwd    DIR                3,2     256      91560 /var/lib/nfs

rpc.mount 19552 root  rtd    DIR                3,2     584          2 /

rpc.mount 19552 root  txt    REG                3,2   77304      98667 /usr/sbin/rpc.mountd

rpc.mount 19552 root  mem    REG                3,2  132847      19074 /lib64/ld-2.4.so

rpc.mount 19552 root  DEL    REG                3,2             132550 /var/run/nscd/db5BU1wW

7. 列出多個(gè)進(jìn)程號(hào)對(duì)應(yīng)的文件信息

#lsof -p 123,456,789

8. 列出除了某個(gè)進(jìn)程號(hào)，其他進(jìn)程號(hào)所打開的文件信息

#lsof -p ^1523

9 . 列出所有的網(wǎng)絡(luò)連接

#lsof -i

10. 列出所有tcp 網(wǎng)絡(luò)連接信息

#lsof  -i tcp

11. 列出所有udp網(wǎng)絡(luò)連接信息

#lsof  -i udp

12. 列出誰在使用某個(gè)端口

#lsof -i :3306

13. 列出誰在使用某個(gè)特定的udp、tcp端口

#lsof -i udp:55

特定的tcp端口

#lsof -i tcp:80

14. 列出某個(gè)用戶的所有活躍的網(wǎng)絡(luò)端口

#lsof  -a -u test -i

15. 查看誰正在使用某個(gè)文件

#lsof   /filepath/file

16.遞歸查看某個(gè)目錄的文件信息

#lsof +D /filepath/filepath3/

備注: 使用了+D，對(duì)應(yīng)目錄下的所有子目錄和文件都會(huì)被列出

五、恢復(fù)刪除的文件

當(dāng)Linux計(jì)算機(jī)受到***時(shí)，常見的情況是日志文件被刪除，以掩蓋***者的蹤跡。管理錯(cuò)誤也可能導(dǎo)致意外刪除重要的文件，比如在清理舊日志時(shí)，意外地刪除了數(shù)據(jù)庫的活動(dòng)事務(wù)日志。有時(shí)可以通過lsof來恢復(fù)這些文件。

當(dāng)進(jìn)程打開了某個(gè)文件時(shí)，只要該進(jìn)程保持打開該文件，即使將其刪除，它依然存在于磁盤中。這意味著，進(jìn)程并不知道文件已經(jīng)被刪除，它仍然可以向打開該文件時(shí)提供給它的文件描述符進(jìn)行讀取和寫入。除了該進(jìn)程之外，這個(gè)文件是不可見的，因?yàn)橐呀?jīng)刪除了其相應(yīng)的目錄索引節(jié)點(diǎn)。

在/proc 目錄下，其中包含了反映內(nèi)核和進(jìn)程樹的各種文件。/proc目錄掛載的是在內(nèi)存中所映射的一塊區(qū)域，所以這些文件和目錄并不存在于磁盤中，因此當(dāng)我們對(duì)這些文件進(jìn)行讀取和寫入時(shí)，實(shí)際上是在從內(nèi)存中獲取相關(guān)信息。大多數(shù)與 lsof 相關(guān)的信息都存儲(chǔ)于以進(jìn)程的 PID 命名的目錄中，即 /proc/1234 中包含的是 PID 為 1234 的進(jìn)程的信息。每個(gè)進(jìn)程目錄中存在著各種文件，它們可以使得應(yīng)用程序簡(jiǎn)單地了解進(jìn)程的內(nèi)存空間、文件描述符列表、指向磁盤上的文件的符號(hào)鏈接和其他系統(tǒng)信息。lsof 程序使用該信息和其他關(guān)于內(nèi)核內(nèi)部狀態(tài)的信息來產(chǎn)生其輸出。所以lsof 可以顯示進(jìn)程的文件描述符和相關(guān)的文件名等信息。也就是我們通過訪問進(jìn)程的文件描述符可以找到該文件的相關(guān)信息。

當(dāng)系統(tǒng)中的某個(gè)文件被意外地刪除了，只要這個(gè)時(shí)候系統(tǒng)中還有進(jìn)程正在訪問該文件，那么我們就可以通過lsof從/proc目錄下恢復(fù)該文件的內(nèi)容。 假如由于誤操作將/var/log/messages文件刪除掉了，那么這時(shí)要將/var/log/messages文件恢復(fù)的方法如下：

首先使用lsof來查看當(dāng)前是否有進(jìn)程打開/var/logmessages文件，如下：

從上面的信息可以看到 PID 1283（syslogd）打開文件的文件描述符為 2。同時(shí)還可以看到/var/log/messages已經(jīng)標(biāo)記被刪除了。因此我們可以在 /proc/1283/fd/2 （fd下的每個(gè)以數(shù)字命名的文件表示進(jìn)程對(duì)應(yīng)的文件描述符）中查看相應(yīng)的信息，如下：

從上面的信息可以看出，查看 /proc/8663/fd/15 就可以得到所要恢復(fù)的數(shù)據(jù)。如果可以通過文件描述符查看相應(yīng)的數(shù)據(jù)，那么就可以使用 I/O 重定向?qū)⑵鋸?fù)制到文件中，如:

對(duì)于許多應(yīng)用程序，尤其是日志文件和數(shù)據(jù)庫，這種恢復(fù)刪除文件的方法非常有用。