lsof命令怎么用

這篇文章將為大家詳細講解有關lsof命令怎么用，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

一：lsof介紹
lsof 是 linux 下的一個非常實用的系統級的監控、診斷工具。
它的意思是 List Open Files，很容易你就記住了它是 “ls + of”的組合，它可以用來列出被各種進程打開的文件信息，記住：linux 下 “一切皆文件”，包括但不限于 pipes, sockets, directories, devices, 等等。
因此，使用 lsof，你可以獲取任何被打開文件的各種信息，只需輸入 lsof 就可以生成大量的信息，因為 lsof 需要訪問核心內存和各種文件，所以必須以 root 用戶的身份運行它才能夠充分地發揮其功能。

適應條件：lsof訪問的是核心文件和各種文件，所以必須以root用戶的身份運行才能充分發揮其功能。

lsof [選項] [絕對路徑的文件名]

示例：
[root@localhost ~]# lsof /usr/sbin/httpd
COMMAND  PID   USER  FD   TYPE DEVICE SIZE/OFF   NODE NAME
httpd   6279   root txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6281 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6282 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6283 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6284 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6285 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6286 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6287 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6288 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd
httpd   6546 apache txt    REG    8,2   344112 415135 /usr/sbin/httpd

每行顯示一個打開的文件，默認如果后面不跟任何東西，將打開系統打開的所有文件
COMMAND ：進程名稱
PID：進程標識符
USER:進程所有者
FD:文件描述符，應用程序通過文件描述符識別到該文件。如cwd、txt等
TYPE：文件類型，如DIR,REG
DEVICE:指定磁盤名稱
SIZE:文件大小
NODE:索引節點（文件在磁盤上的標識）
NAME:打開文件的確切名稱

補充：FD列中的文件描述cwd值表示應用程序的當前工作目錄，這是該程序啟動的目錄，除非它本身對這個目錄進行更改。txt類型的是程序代碼，如應用程序二進制文件本身或者共享庫。其次數值表示應用程序的文件描述符，這是打開文件時一個返回的一個整數。

如下示例：
COMMAND   PID       USER    FD      TYPE     DEVICE    SIZE/OFF   NODE NAME
lsof      6660      root    0u      CHR      136,0      0t0          3 /dev/pts/0
lsof      6660      root    1u      CHR      136,0      0t0          3 /dev/pts/0
lsof      6660      root    2u      CHR      136,0      0t0          3 /dev/pts/0
lsof      6660      root    3r      DIR        0,3        0          1 /proc
lsof      6660      root    4r      DIR        0,3        0      36358 /proc/6660/fd
lsof      6660      root    5w     FIFO        0,8      0t0      36363 pipe
lsof      6660      root    6r     FIFO        0,8      0t0      36364 pipe
lsof      6661      root  cwd       DIR        8,2     4096     130562 /root
lsof      6661      root  rtd       DIR        8,2     4096          2 /
lsof      6661      root  txt       REG        8,2   154356     415242 /usr/sbin/lsof
lsof      6661      root  mem       REG        8,2  1907156     914957 /lib/libc-2.12.so
lsof      6661      root  mem       REG        8,2    17892     914963 /lib/libdl-2.12.so
lsof      6661      root  mem       REG        8,2   141080     914950 /lib/ld-2.12.so
lsof      6661      root  mem       REG        8,2   120780     915040 /lib/libselinux.so.1
lsof      6661      root  mem       REG        8,2 99154448     395123 /usr/lib/locale/locale-archive
lsof      6661      root    4r     FIFO        0,8      0t0      36363 pipe
lsof      6661      root    7w     FIFO        0,8      0t0      36364 pipe

其中u表示該文件被打開處于讀取\寫入模式，而不是只讀或只寫模式；r 只讀 ； w 只寫 ；W表示該應用程序具有對整個文件的寫鎖（確保每次只能打開一次應用程序實例）
初始打開每個應用程序時，都具有三個文件描述符，從0到2，分別表示標準輸入、輸出和錯誤流。因此，大多數應用程序所打開的FD都是從3開始！

TYPE：REG、DIR、CHR、BLK、UNIX、FIFO、IPV


二、應用lsof之恢復刪除文件
當系統中的某個文件被意外刪除了，只要這個時候系統中有進程正在訪問這個文件，那么可以通過lsof 從/proc目錄下恢復文件的內容

假如/var/log/messages文件被刪了，恢復這個文件的方法：

首先使用lsof 查看當前是否有進程打開/var/log/messages文件，
#lsof |grep /var/log/messages

[root@localhost ~]# rm /var/log/messages
rm：是否刪除普通文件 "/var/log/messages"？y

[root@localhost ~]# lsof |grep /var/log/messages
rsyslogd  5925      root    1w      REG        8,2     4369     266184 /var/log/messages (deleted)

從上面的信息可以看到PID 5925（syslogd)打開文件的文件描述符為1，同時發現/var/log/messages已經被刪除了。
因此可以通過/var/log/messages文件描述符來查看文件信息

cat /pro/5925/fd/1
[root@localhost ~]# cat /proc/5925/fd/1
May 12 08:04:11 localhost kernel: hpet1: lost 3 rtc interrupts
May 12 08:04:11 localhost kernel: hpet1: lost 6 rtc interrupts
May 12 08:04:11 localhost kernel: hpet1: lost 1 rtc interrupts
May 12 09:25:33 localhost kernel: usb 2-2.1: USB disconnect, device number 10
May 12 09:25:33 localhost kernel: eth0: link down
May 12 09:25:33 localhost kernel: usb 2-2.1: new full speed USB device number 11 using uhci_hcd
May 12 09:25:33 localhost kernel: usb 2-2.1: New USB device found, idVendor=0e0f, idProduct=0008
May 12 09:25:33 localhost kernel: usb 2-2.1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
May 12 09:25:33 localhost kernel: usb 2-2.1: Product: Virtual Bluetooth Adapter
May 12 09:25:33 localhost kernel: usb 2-2.1: Manufacturer: VMware
May 12 09:25:33 localhost kernel: usb 2-2.1: SerialNumber: 000650268328
May 12 09:25:33 localhost kernel: usb 2-2.1: configuration #1 chosen from 1 choice

最后通過重定向的方法恢復被刪除的/var/log/messages
cat /pro/5925/fd/1 >/var/log/messages

三、lsof命令詳解：
3.1查看命令詳解
lsof -h

3.2列出所有打開的文件
# lsof

不帶任何參數運行lsof會列出所有進程打開的所有文件。

3.3找出誰在使用某個文件

# lsof /path/to/file

只需要執行文件的絕對路徑，lsof就會列出所有使用這個文件的進程，你也可以列出多個文件，lsof會列出所有使用這些文件的進程。

你也可以一次制定多個文件：

# lsof /path/to/file1 /path/to/file2

3.4遞歸查找某個目錄中所有打開的文件

# lsof +D /usr/lib

加上+D參數，lsof會對指定目錄進行遞歸查找，注意這個參數要比grep版本慢：

# lsof | grep '/usr/lib'

之所以慢是因為+D首先查找所有的文件，然后一次性輸出。

3.5列出某個用戶打開的所有文件

# lsof -u pkrumins

-u選項限定只列出所有被用戶pkrumins打開的文件，你可以通過逗號指定多個用戶：

# lsof -u rms,root

這條命令會列出所有rms和root用戶打開的文件。

你也可以像下面這樣使用多個-u做同樣的事情：

# lsof -u rms -u root

3.6查找某個程序打開的所有文件

# lsof -c apache

-c選項限定只列出以apache開頭的進程打開的文件：

所以你可以不用像下面這樣寫：

# lsof | grep foo

而使用下面這個更簡短的版本：

# lsof -c foo

事實上，你可以只制定進程名稱的開頭：

# lsof -c apa

這會列出所有以apa開頭的進程打開的文件

你同樣可以制定多個-c參數：

# lsof -c apache -c python

這會列出所有由apache和python打開的文件

3.7 列出所有由某個用戶或某個進程打開的文件

# lsof -u pkrumins -c apache

你也可以組合使用多個選項，這些選項默認進行或關聯，也就是說上面的命令會輸入由pkrumins用戶或是apache進程打開的文件。

3.8 列出所有由一個用戶與某個進程打開的文件

# lsof -a -u pkrumins -c bash

-a參數可以將多個選項的組合條件由或變為與，上面的命令會顯示所有由pkrumins用戶以及bash進程打開的文件。

3.9列出除root用戶外的所有用戶打開的文件

# lsof -u ^root

注意root前面的^符號，它執行取反操作，因此lsof會列出所有root用戶之外的用戶打開的文件。


3.10 列出所有由某個PID對應的進程打開的文件

# lsof -p 1

-p選項讓你可以使用進程id來過濾輸出。

記住你也可以用逗號來分離多個pid。

# lsof -p 450,980,333

列出所有進程打開的文件除了某個pid的

# lsof -p ^1

同前面的用戶一樣，你也可以對-p選項使用^來進行取反。

3.11 列出所有網絡連接

# lsof -i

lsof的-i選項可以列出所有打開了網絡套接字（TCP和UDP）的進程。

3.12 列出所有TCP網絡連接

# lsof -i tcp

也可以為-i選項加上參數，比如tcp，tcp選項會強制lsof只列出打開TCP sockets的進程。

3.13 列出所有UDP網絡連接

# lsof -i udp

同樣udp讓lsof只列出使用UDP socket的進程。

3.14 找到使用某個端口的進程

# lsof -i :25

:25和-i選項組合可以讓lsof列出占用TCP或UDP的25端口的進程。

你也可以使用/etc/services中制定的端口名稱來代替端口號，比如：

# lsof -i :smtp

找到使用某個udp端口號的進程

# lsof -i udp:53

同樣的，也可以找到使用某個tcp端口的進程：

# lsof -i tcp:80

3.15 找到某個用戶的所有網絡連接

# lsof -a -u hacker -i

使用-a將-u和-i選項組合可以讓lsof列出某個用戶的所有網絡行為。

3.16 列出所有NFS（網絡文件系統）文件

# lsof -N

這個參數很好記，-N就對應NFS。

3.17 列出所有UNIX域Socket文件

# lsof -U

這個選項也很好記，-U就對應UNIX。

3.18 列出所有對應某個組id的進程

# lsof -g 1234

進程組用來來邏輯上對進程進行分組，這個例子查找所有PGID為1234的進程打開的文件。

3.19 列出所有與某個描述符關聯的文件

# lsof -d 2

這個命令會列出所有以描述符2打開的文件。

你也可以為描述符指定一個范圍：

# lsof -d 0-2

這會列出所有描述符為0，1，2的文件。

-d選項還支持其它很多特殊值，下面的命令列出所有內存映射文件：

# lsof -d mem

txt則列出所有加載在內存中并正在執行的進程：

# lsof -d txt

3.20 輸出使用某些資源的進程pid

# lsof -t -i

-t選項輸出進程的PID，你可以將它和-i選項組合輸出使用某個端口的進程的PID，下面的命令將會殺掉所有使用網絡的進程：

# kill -9 'lsof -t -i'

3.21 循環列出文件

# lsof -r 1

-r選項讓lsof可以循環列出文件直到被中斷，參數1的意思是每秒鐘重復打印一次，這個選項最好同某個范圍比較小的查詢組合使用，比如用來監測網絡活動：

# lsof -r 1 -u john -i -a

四、如何安裝lsof？

許多Unix系統都內置了lsof，如果你的系統沒有安裝，你可以從這里直接下載源代碼：https://people.freebsd.org/~abe/。

BSD系統有一個類似的工具可以做同樣的事情，叫做fstat。

你可以通過man lsof來了解關于lsof的完整文檔，或者通過lsof -h查看。

關于“lsof命令怎么用”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，使各位可以學到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。