linux lsof命令詳解
簡介
lsof(list open files)是一個列出當(dāng)前系統(tǒng)打開文件的工具����。在linux環(huán)境下��,任何事物都以文件的形式存在�,通過文件不僅僅可以訪問常規(guī)數(shù)據(jù)��,還可以訪問網(wǎng)絡(luò)連接和硬件���。所以如傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報協(xié)議 (UDP) 套接字等,系統(tǒng)在后臺都為該應(yīng)用程序分配了一個文件描述符����,無論這個文件的本質(zhì)如何,該文件描述符為應(yīng)用程序與基礎(chǔ)操作系統(tǒng)之間的交互提供了通用接口���。因為應(yīng)用程序打開文件的描述符列表提供了大量關(guān)于這個應(yīng)用程序本身的信息�,因此通過lsof工具能夠查看這個列表對系統(tǒng)監(jiān)測以及排錯將是很有幫助的�����。
輸出信息含義
在終端下輸入lsof即可顯示系統(tǒng)打開的文件��,因為 lsof 需要訪問核心內(nèi)存和各種文件�,所以必須以 root 用戶的身份運(yùn)行它才能夠充分地發(fā)揮其功能。
直接輸入lsof部分輸出為:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
init 1 root cwd DIR 8,1 4096 2 /
init 1 root rtd DIR 8,1 4096 2 /
init 1 root txt REG 8,1 150584 654127 /sbin/init
udevd 415 root 0u CHR 1,3 0t0 6254 /dev/null
udevd 415 root 1u CHR 1,3 0t0 6254 /dev/null
udevd 415 root 2u CHR 1,3 0t0 6254 /dev/null
udevd 690 root mem REG 8,1 51736 302589 /lib/x86_64-linux-gnu/libnss_files-2.13.so
syslogd 1246 syslog 2w REG 8,1 10187 245418 /var/log/auth.log
syslogd 1246 syslog 3w REG 8,1 10118 245342 /var/log/syslog
dd 1271 root 0r REG 0,3 0 4026532038 /proc/kmsg
dd 1271 root 1w FIFO 0,15 0t0 409 /run/klogd/kmsg
dd 1271 root 2u CHR 1,3 0t0 6254 /dev/null
每行顯示一個打開的文件����,若不指定條件默認(rèn)將顯示所有進(jìn)程打開的所有文件。
lsof輸出各列信息的意義如下:
| COMMAND |
PID |
USER |
FD |
DEVICE |
SIZE |
NODE |
NAME |
| 進(jìn)程的名稱 |
進(jìn)程標(biāo)識符 |
進(jìn)程所有者 |
文件描述符�,應(yīng)用程序通過文件描述符識別該文件�����。如cwd�����、txt等 TYPE:文件類型���,如DIR、REG等 |
指定磁盤的名稱 |
文件的大小 |
索引節(jié)點(diǎn)(文件在磁盤上的標(biāo)識) |
打開文件的確切名稱 |
FD 列中的文件描述符cwd 值表示應(yīng)用程序的當(dāng)前工作目錄���,這是該應(yīng)用程序啟動的目錄�����,除非它本身對這個目錄進(jìn)行更改,txt 類型的文件是程序代碼��,如應(yīng)用程序二進(jìn)制文件本身或共享庫�����,如上列表中顯示的 /sbin/init 程序�����。
其次數(shù)值表示應(yīng)用程序的文件描述符�����,這是打開該文件時返回的一個整數(shù)���。如上的最后一行文件/dev/initctl,其文件描述符為 10����。u 表示該文件被打開并處于讀取/寫入模式,而不是只讀 ® 或只寫 (w) 模式�����。同時還有大寫 的W 表示該應(yīng)用程序具有對整個文件的寫鎖���。該文件描述符用于確保每次只能打開一個應(yīng)用程序?qū)嵗?���。初始打開每個應(yīng)用程序時�,都具有三個文件描述符,從 0 到 2,分別表示標(biāo)準(zhǔn)輸入���、輸出和錯誤流��。所以大多數(shù)應(yīng)用程序所打開的文件的 FD 都是從 3 開始�。
與 FD 列相比��,Type 列則比較直觀�����。文件和目錄分別稱為 REG 和 DIR�����。而CHR 和 BLK����,分別表示字符和塊設(shè)備;或者 UNIX����、FIFO 和 IPv4,分別表示 UNIX 域套接字��、先進(jìn)先出 (FIFO) 隊列和網(wǎng)際協(xié)議 (IP) 套接字。
常用參數(shù)
lsof語法格式是:
lsof [options] filename
lsof abc.txt 顯示開啟文件abc.txt的進(jìn)程
lsof -c abc 顯示abc進(jìn)程現(xiàn)在打開的文件
lsof -c -p 1234 列出進(jìn)程號為1234的進(jìn)程所打開的文件
lsof -g gid 顯示歸屬gid的進(jìn)程情況
lsof +d /usr/local/ 顯示目錄下被進(jìn)程開啟的文件
lsof +D /usr/local/ 同上�,但是會搜索目錄下的目錄,時間較長
lsof -d 4 顯示使用fd為4的進(jìn)程
lsof -i 用以顯示符合條件的進(jìn)程情況
lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
46 --> IPv4 or IPv6
protocol --> TCP or UDP
hostname --> Internet host name
hostaddr --> IPv4地址
service --> /etc/service中的 service name (可以不止一個)
port --> 端口號 (可以不止一個)
lsof使用實(shí)例
查找誰在使用文件系統(tǒng)
在卸載文件系統(tǒng)時���,如果該文件系統(tǒng)中有任何打開的文件,操作通常將會失敗���。那么通過lsof可以找出那些進(jìn)程在使用當(dāng)前要卸載的文件系統(tǒng)��,如下:
# lsof /GTES11/
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
bash 4208 root cwd DIR 3,1 4096 2 /GTES11/
vim 4230 root cwd DIR 3,1 4096 2 /GTES11/
在這個示例中����,用戶root正在其/GTES11目錄中進(jìn)行一些操作�����。一個 bash是實(shí)例正在運(yùn)行�����,并且它當(dāng)前的目錄為/GTES11��,另一個則顯示的是vim正在編輯/GTES11下的文件�����。要成功地卸載/GTES11,應(yīng)該在通知用戶以確保情況正常之后����,中止這些進(jìn)程。 這個示例說明了應(yīng)用程序的當(dāng)前工作目錄非常重要�����,因為它仍保持著文件資源����,并且可以防止文件系統(tǒng)被卸載。這就是為什么大部分守護(hù)進(jìn)程(后臺進(jìn)程)將它們的目錄更改為根目錄�����、或服務(wù)特定的目錄(如 sendmail 示例的 /var/spool/mqueue)的原因����,以避免該守護(hù)進(jìn)程阻止卸載不相關(guān)的文件系統(tǒng)。
恢復(fù)刪除的文件
當(dāng)Linux計算機(jī)受到入侵時�����,常見的情況是日志文件被刪除,以掩蓋攻擊者的蹤跡��。管理錯誤也可能導(dǎo)致意外刪除重要的文件�,比如在清理舊日志時,意外地刪除了數(shù)據(jù)庫的活動事務(wù)日志�����。有時可以通過lsof來恢復(fù)這些文件�����。
當(dāng)進(jìn)程打開了某個文件時��,只要該進(jìn)程保持打開該文件���,即使將其刪除,它依然存在于磁盤中����。這意味著,進(jìn)程并不知道文件已經(jīng)被刪除��,它仍然可以向打開該文件時提供給它的文件描述符進(jìn)行讀取和寫入��。除了該進(jìn)程之外,這個文件是不可見的���,因為已經(jīng)刪除了其相應(yīng)的目錄索引節(jié)點(diǎn)�。
在/proc 目錄下�,其中包含了反映內(nèi)核和進(jìn)程樹的各種文件。/proc目錄掛載的是在內(nèi)存中所映射的一塊區(qū)域�����,所以這些文件和目錄并不存在于磁盤中����,因此當(dāng)我們對這些文件進(jìn)行讀取和寫入時,實(shí)際上是在從內(nèi)存中獲取相關(guān)信息����。大多數(shù)與 lsof 相關(guān)的信息都存儲于以進(jìn)程的 PID 命名的目錄中,即 /proc/1234 中包含的是 PID 為 1234 的進(jìn)程的信息���。每個進(jìn)程目錄中存在著各種文件�����,它們可以使得應(yīng)用程序簡單地了解進(jìn)程的內(nèi)存空間�����、文件描述符列表�、指向磁盤上的文件的符號鏈接和其他系統(tǒng)信息。lsof 程序使用該信息和其他關(guān)于內(nèi)核內(nèi)部狀態(tài)的信息來產(chǎn)生其輸出��。所以lsof 可以顯示進(jìn)程的文件描述符和相關(guān)的文件名等信息�。也就是我們通過訪問進(jìn)程的文件描述符可以找到該文件的相關(guān)信息。
當(dāng)系統(tǒng)中的某個文件被意外地刪除了�����,只要這個時候系統(tǒng)中還有進(jìn)程正在訪問該文件��,那么我們就可以通過lsof從/proc目錄下恢復(fù)該文件的內(nèi)容�。 假如由于誤操作將/var/log/messages文件刪除掉了���,那么這時要將/var/log/messages文件恢復(fù)的方法如下:
首先使用lsof來查看當(dāng)前是否有進(jìn)程打開/var/logmessages文件��,如下:
# lsof |grep /var/log/messages
syslogd 1283 root 2w REG 3,3 5381017 1773647 /var/log/messages (deleted)
從上面的信息可以看到 PID 1283(syslogd)打開文件的文件描述符為 2���。同時還可以看到/var/log/messages已經(jīng)標(biāo)記被刪除了。因此我們可以在 /proc/1283/fd/2 (fd下的每個以數(shù)字命名的文件表示進(jìn)程對應(yīng)的文件描述符)中查看相應(yīng)的信息�����,如下:
# head -n 10 /proc/1283/fd/2
Aug 4 13:50:15 holmes86 syslogd 1.4.1: restart.
Aug 4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started.
Aug 4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8
(root@everestbuilder.linux-ren.org) (gcc version 4.2.0)
#1 SMP Wed Jul 18 11:18:32 EDT 2007 Aug 4 13:50:15 holmes86 kernel:
BIOS-provided physical RAM map: Aug 4 13:50:15 holmes86 kernel: BIOS-e820:
0000000000000000 - 000000000009f000 (usable) Aug
4 13:50:15 holmes86 kernel: BIOS-e820: 000000000009f000 - 00000000000a0000
(reserved) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000100000 - 000000001f7d3800
(usable) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000001f7d3800 - 0000000020000000
(reserved) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000e0000000 - 00000000f0007000
(reserved) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000f0008000 - 00000000f000c000 (reserved)
從上面的信息可以看出,查看 /proc/8663/fd/15 就可以得到所要恢復(fù)的數(shù)據(jù)�����。如果可以通過文件描述符查看相應(yīng)的數(shù)據(jù)��,那么就可以使用 I/O 重定向?qū)⑵鋸?fù)制到文件中��,如:
cat /proc/1283/fd/2 > /var/log/messages
對于許多應(yīng)用程序���,尤其是日志文件和數(shù)據(jù)庫���,這種恢復(fù)刪除文件的方法非常有用。
實(shí)用命令
lsof `which httpd` //那個進(jìn)程在使用apache的可執(zhí)行文件
lsof /etc/passwd //那個進(jìn)程在占用/etc/passwd
lsof /dev/hda6 //那個進(jìn)程在占用hda6
lsof /dev/cdrom //那個進(jìn)程在占用光驅(qū)
lsof -c sendmail //查看sendmail進(jìn)程的文件使用情況
lsof -c courier -u ^zahn //顯示出那些文件被以courier打頭的進(jìn)程打開�,但是并不屬于用戶zahn
lsof -p 30297 //顯示那些文件被pid為30297的進(jìn)程打開
lsof -D /tmp 顯示所有在/tmp文件夾中打開的instance和文件的進(jìn)程。但是symbol文件并不在列
lsof -u1000 //查看uid是100的用戶的進(jìn)程的文件使用情況
lsof -utony //查看用戶tony的進(jìn)程的文件使用情況
lsof -u^tony //查看不是用戶tony的進(jìn)程的文件使用情況(^是取反的意思)
lsof -i //顯示所有打開的端口
lsof -i:80 //顯示所有打開80端口的進(jìn)程
lsof -i -U //顯示所有打開的端口和UNIX domain文件
lsof -i UDP@[url]www.akadia.com:123 //顯示那些進(jìn)程打開了到www.akadia.com的UDP的123(ntp)端口的鏈接
lsof -i tcp@ohaha.ks.edu.tw:ftp -r //不斷查看目前ftp連接的情況(-r�����,lsof會永遠(yuǎn)不斷的執(zhí)行���,直到收到中斷信號,+r,lsof會一直執(zhí)行���,直到?jīng)]有檔案被顯示,缺省是15s刷新)
lsof -i tcp@ohaha.ks.edu.tw:ftp -n //lsof -n 不將IP轉(zhuǎn)換為hostname�,缺省是不加上-n參數(shù)
感謝閱讀�,希望能幫助到大家,謝謝大家對本站的支持�����!
您可能感興趣的文章:- Linux lsof命令使用詳解
- linux exa命令(比ls更好的展示文件體驗)
- 在Linux系統(tǒng)中如何使用ls命令按日期對文件進(jìn)行排序
- 在Linux命令行中列出帶有l(wèi)s文件的技巧
- linux 中的ls命令參數(shù)詳解及l(fā)s命令的使用實(shí)例
- linux ls命令教程及l(fā)s命令使用方法
- linux中l(wèi)s命令使用詳解
- linux c模擬ls命令詳解
- Linux ls命令參數(shù)詳解
- Linux ls命令的使用
