everyday:linux lsof

[TOC]

功能說明

• lsof(list open files) 是一個(gè)列出當(dāng)前系統(tǒng)打開文件的工具溅固。
• linux 環(huán)境下，任何事物都以文件的形式存在，通過文件不僅僅可以訪問常規(guī)數(shù)據(jù)，還可以訪問網(wǎng)絡(luò)連接和硬件。
• 如傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 套接字等憔恳，系統(tǒng)在后臺(tái)都為該應(yīng)用程序分配了一個(gè)文件描述符，無論這個(gè)文件的本質(zhì)如何痢甘，該文件描述符為應(yīng)用程序與基礎(chǔ)操作系統(tǒng)之間的交互提供了通用接口喇嘱。
• 應(yīng)用程序的文件描述符列表提供了大量關(guān)于這個(gè)應(yīng)用程序本身的信息，因此通過lsof工具能夠查看這個(gè)列表對(duì)系統(tǒng)監(jiān)測以及排錯(cuò)將是很有幫助的塞栅。

命令詳解

1. 命令格式

   scp [參數(shù)][文件]

2. 命令功能

lsof 用于打開文件的進(jìn)程者铜、進(jìn)程打開的端口(TCP腔丧、UDP)、進(jìn)程打開的文件作烟、找回/恢復(fù)刪除的文件愉粤。
lsof 是十分方便的系統(tǒng)監(jiān)視工具，因?yàn)?lsof 需要訪問核心內(nèi)存和各種文件拿撩，所以需要root用戶執(zhí)行衣厘。
lsof 可以打開的文件是：
1. 普通文件
2. 目錄
3. 網(wǎng)絡(luò)文件系統(tǒng)的文件
4. 字符或設(shè)備文件
5. (函數(shù))共享庫
6. 管道、命名管道
7. 符號(hào)鏈接
8. 網(wǎng)絡(luò)文件（例如：NFS file压恒、網(wǎng)絡(luò)socket影暴，unix域名socket）
9. 還有其它類型的文件...

3. 命令參數(shù)

  -c<進(jìn)程名> 列出指定進(jìn)程所打開的文件
  -g  列出GID號(hào)進(jìn)程詳情
  -d<文件號(hào)> 列出占用該文件號(hào)的進(jìn)程
  +d<目錄>  列出目錄下被打開的文件
  +D<目錄>  遞歸列出目錄下被打開的文件
  -n<目錄>  列出使用NFS的文件
  -i<條件>  列出符合條件的進(jìn)程。（4探赫、6型宙、協(xié)議、:端口伦吠、@ip）
  -p<進(jìn)程號(hào)> 列出指定進(jìn)程號(hào)所打開的文件
  -u  列出UID號(hào)進(jìn)程詳情
  -h 顯示幫助信息
  -v 顯示版本信息

4. 舉例

   • eg1 無任何參數(shù) lsof
   • eg2 查看誰正在使用某個(gè)文件妆兑，也就是說查找某個(gè)文件相關(guān)的進(jìn)程 lsof /bin/bash
   • eg3 遞歸查看某個(gè)目錄的文件信息

    cd /opt/haroopad
  lsof haroopad.v0.13.1.x64/postinst

    # 使用了+D，對(duì)應(yīng)目錄下的所有子目錄和文件都會(huì)被列出
  lsof +D haroopad.v0.13.1.x64/postinst

+ eg4   不使用+D選項(xiàng)毛仪，遍歷查看某個(gè)目錄的所有文件信息的方法 `lsof | grep 'test/log'`
+ eg5 列出某個(gè)用戶打開的文件信息

    // -u 選項(xiàng)搁嗓，u其實(shí)是user的縮寫
  lsof -u username

+ eg6 列出某個(gè)程序進(jìn)程所打開的文件信息

    // -c 選項(xiàng)，將會(huì)列出所有以mysql這個(gè)進(jìn)程開頭的程序的文件箱靴，其實(shí)也可以寫成 lsof | grep mysql, 但是第一種方法明顯比第二種方法要少打幾個(gè)字符
  lsof -c mysql

+ eg7 列出多個(gè)進(jìn)程多個(gè)打開的文件信息 `losof -c mysql -c apache`
+ eg8 列出某個(gè)用戶以及某個(gè)進(jìn)程所打開的文件信息

    // 用戶與進(jìn)程可相關(guān)腺逛，也可以不相關(guān)
  lsof -u username -c mysql

+ eg9 列出除了某個(gè)用戶外的被打開的文件信息

    // ^ 這個(gè)符號(hào)在用戶名之前，將會(huì)把是root用戶打開的進(jìn)程不讓顯示
  lsof -u ^root

+ eg10 通過某個(gè)進(jìn)程號(hào)顯示該進(jìn)行打開的文件 `lsof -p pid`
+ eg11 列出多個(gè)進(jìn)程號(hào)對(duì)應(yīng)的文件信息 `lsof -p pid1,pid2,pid3`
+ eg12 列出除了某個(gè)進(jìn)程號(hào)衡怀，其他進(jìn)程號(hào)所打開的文件信息 `lsof -p ^pid`
+ eg13 列出所有的網(wǎng)絡(luò)連接 `lsof -i`
+ eg14 列出所有tcp 網(wǎng)絡(luò)連接信息 `lsof -i tcp`
+ eg15 列出所有udp網(wǎng)絡(luò)連接信息 `lsof -i udp`
+ eg16 列出誰在使用某個(gè)端口 `lsof -i :3306`
+ eg17 列出誰在使用某個(gè)特定的udp端口 `lsof -i udp:55`
+ eg18 特定的tcp端口 `lsof -i tcp:80`
+ eg19 列出某個(gè)用戶的所有活躍的網(wǎng)絡(luò)端口 `lsof -a -u username -i`
+ eg20 列出所有網(wǎng)絡(luò)文件系統(tǒng) `lsof -N`
+ eg21 域名socket文件 `lsof -U`
+ eg22 某個(gè)用戶組所打開的文件信息 `lsof -g [group ids]`
+ eg23 根據(jù)文件描述列出對(duì)應(yīng)的文件信息

    // 0表示標(biāo)準(zhǔn)輸入屉来，1表示標(biāo)準(zhǔn)輸出，2表示標(biāo)準(zhǔn)錯(cuò)誤狈癞，從而可知：所以大多數(shù)應(yīng)用程序所打開的文件的 FD 都是從 3 開始
  lsof -d description
  lsof -d txt
  lsof -d 1
  lsof -d 2
  // 根據(jù)文件描述范圍列出文件信息
  lsof -d 2-3

+ eg24 列出COMMAND列中包含字符串" sshd"，且文件描符的類型為txt的文件信息 `lsof -c sshd -a -d txt`
+ eg25 列出被進(jìn)程號(hào)為pid的進(jìn)程茂契，所打開的所有IPV4 network files `lsof -i 4 -a -p pid`
+ eg26 列出目前連接主機(jī)test.linux上端口為：20蝶桶，21，22掉冶，25真竖，53，80相關(guān)的所有文件信息厌小，且每隔3秒不斷的執(zhí)行l(wèi)sof指令

    lsof -i @test.linux:20,21,22,25,53,80 -r 3

5. 備注

lsof 輸出各列信息的意義
- COMMAND：進(jìn)程的名稱
- PID：進(jìn)程標(biāo)識(shí)符
- PPID：父進(jìn)程標(biāo)識(shí)符（需要指定-R參數(shù)）
- USER：進(jìn)程所有者
- PGID：進(jìn)程所屬組
- FD：文件描述符恢共，應(yīng)用程序通過文件描述符識(shí)別該文件。如cwd璧亚、txt等
+ （1）cwd：表示current work dirctory讨韭，即：應(yīng)用程序的當(dāng)前工作目錄，這是該應(yīng)用程序啟動(dòng)的目錄，除非它本身對(duì)這個(gè)目錄進(jìn)行更改
+ （2）txt ：該類型的文件是程序代碼透硝，如應(yīng)用程序二進(jìn)制文件本身或共享庫狰闪，如上列表中顯示的 /sbin/init 程序
+ （3）lnn：library references (AIX);
+ （4）er：FD information error (see NAME column);
+ （5）jld：jail directory (FreeBSD);
+ （6）ltx：shared library text (code and data);
+ （7）mxx ：hex memory-mapped type number xx.
+ （8）m86：DOS Merge mapped file;
+ （9）mem：memory-mapped file;
+ （10）mmap：memory-mapped device;
+ （11）pd：parent directory;
+ （12）rtd：root directory;
+ （13）tr：kernel trace file (OpenBSD);
+ （14）v86 VP/ix mapped file;
+ （15）0：表示標(biāo)準(zhǔn)輸出
+ （16）1：表示標(biāo)準(zhǔn)輸入
+ （17）2：表示標(biāo)準(zhǔn)錯(cuò)誤
+ 一般在標(biāo)準(zhǔn)輸出、標(biāo)準(zhǔn)錯(cuò)誤濒生、標(biāo)準(zhǔn)輸入后還跟著文件狀態(tài)模式：r埋泵、w、u等
+ （1）u：表示該文件被打開并處于讀取/寫入模式
+ （2）r：表示該文件被打開并處于只讀模式
+ （3）w：表示該文件被打開并處于
+ （4）空格：表示該文件的狀態(tài)模式為unknow罪治，且沒有鎖定
+ （5）-：表示該文件的狀態(tài)模式為unknow丽声，且被鎖定
+ 同時(shí)在文件狀態(tài)模式后面，還跟著相關(guān)的鎖
+ （1）N：for a Solaris NFS lock of unknown type;
+ （2）r：for read lock on part of the file;
+ （3）R：for a read lock on the entire file;
+ （4）w：for a write lock on part of the file;（文件的部分寫鎖）
+ （5）W：for a write lock on the entire file;（整個(gè)文件的寫鎖）
+ （6）u：for a read and write lock of any length;
+ （7）U：for a lock of unknown type;
+ （8）x：for an SCO OpenServer Xenix lock on part of the file;
+ （9）X：for an SCO OpenServer Xenix lock on the entire file;
+ （10）space：if there is no lock.
+ TYPE：文件類型觉义，如DIR雁社、REG等，常見的文件類型
+ （1）DIR：表示目錄
+ （2）CHR：表示字符類型
+ （3）BLK：塊設(shè)備類型
+ （4）UNIX： UNIX 域套接字
+ （5）FIFO：先進(jìn)先出 (FIFO) 隊(duì)列
+ （6）IPv4：網(wǎng)際協(xié)議 (IP) 套接字
+ DEVICE：指定磁盤的名稱
+ SIZE：文件的大小
+ NODE：索引節(jié)點(diǎn)（文件在磁盤上的標(biāo)識(shí)）
+ NAME：打開文件的確切名稱