簡(jiǎn)介

lsof(list open files)是一個(gè)列出當(dāng)前系統(tǒng)打開文件的工具祖秒。在linux環(huán)境下究反，任何事物都以文件的形式存在聂喇，通過文件不僅僅可以訪問常規(guī)數(shù)據(jù)辖源，還可以訪問網(wǎng)絡(luò)連接和硬件。所以如傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 套接字等希太，系統(tǒng)在后臺(tái)都為該應(yīng)用程序分配了一個(gè)文件描述符克饶，無論這個(gè)文件的本質(zhì)如何，該文件描述符為應(yīng)用程序與基礎(chǔ)操作系統(tǒng)之間的交互提供了通用接口誊辉。因?yàn)閼?yīng)用程序打開文件的描述符列表提供了大量關(guān)于這個(gè)應(yīng)用程序本身的信息矾湃，因此通過lsof工具能夠查看這個(gè)列表對(duì)系統(tǒng)監(jiān)測(cè)以及排錯(cuò)將是很有幫助的。

輸出信息含義

在終端下輸入lsof即可顯示系統(tǒng)打開的文件堕澄，因?yàn)?lsof 需要訪問核心內(nèi)存和各種文件邀跃，所以必須以 root 用戶的身份運(yùn)行它才能夠充分地發(fā)揮其功能。

直接輸入lsof部分輸出為:

[root@VM_0_3_centos ~]# lsof
COMMAND     PID   TID           USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
systemd       1                 root  cwd       DIR              253,1      4096          2 /
systemd       1                 root  rtd       DIR              253,1      4096          2 /
systemd       1                 root  txt       REG              253,1   1612152     274994 /usr/lib/systemd/systemd
systemd       1                 root  mem       REG              253,1     20112     266800 /usr/lib64/libuuid.so.1.3.0
systemd       1                 root  mem       REG              253,1    261456     266820 /usr/lib64/libblkid.so.1.1.0

每行顯示一個(gè)打開的文件蛙紫，若不指定條件默認(rèn)將顯示所有進(jìn)程打開的所有文件拍屑。

lsof輸出各列信息的意義如下：

COMMAND：進(jìn)程的名稱 PID：進(jìn)程標(biāo)識(shí)符

USER：進(jìn)程所有者

FD：文件描述符，應(yīng)用程序通過文件描述符識(shí)別該文件坑傅。如cwd僵驰、txt等 TYPE：文件類型，如DIR裁蚁、REG等

DEVICE：指定磁盤的名稱

SIZE：文件的大小

NODE：索引節(jié)點(diǎn)（文件在磁盤上的標(biāo)識(shí)）

NAME：打開文件的確切名稱

FD 列中的文件描述符cwd 值表示應(yīng)用程序的當(dāng)前工作目錄矢渊，這是該應(yīng)用程序啟動(dòng)的目錄，除非它本身對(duì)這個(gè)目錄進(jìn)行更改,txt 類型的文件是程序代碼枉证，如應(yīng)用程序二進(jìn)制文件本身或共享庫(kù)，如上列表中顯示的 /sbin/init 程序移必。

其次數(shù)值表示應(yīng)用程序的文件描述符室谚，這是打開該文件時(shí)返回的一個(gè)整數(shù)。如上的最后一行文件/dev/initctl崔泵，其文件描述符為 10秒赤。u 表示該文件被打開并處于讀取/寫入模式，而不是只讀 ? 或只寫 (w) 模式憎瘸。同時(shí)還有大寫 的W 表示該應(yīng)用程序具有對(duì)整個(gè)文件的寫鎖入篮。該文件描述符用于確保每次只能打開一個(gè)應(yīng)用程序?qū)嵗３跏即蜷_每個(gè)應(yīng)用程序時(shí)幌甘，都具有三個(gè)文件描述符潮售，從 0 到 2痊项，分別表示標(biāo)準(zhǔn)輸入、輸出和錯(cuò)誤流酥诽。所以大多數(shù)應(yīng)用程序所打開的文件的 FD 都是從 3 開始鞍泉。

與 FD 列相比，Type 列則比較直觀肮帐。文件和目錄分別稱為 REG 和 DIR咖驮。而CHR 和 BLK，分別表示字符和塊設(shè)備训枢；或者 UNIX托修、FIFO 和 IPv4，分別表示 UNIX 域套接字恒界、先進(jìn)先出 (FIFO) 隊(duì)列和網(wǎng)際協(xié)議 (IP) 套接字诀黍。

常用參數(shù)
lsof語(yǔ)法格式是： lsof ［options］ filename

lsof abc.txt 顯示開啟文件abc.txt的進(jìn)程 
lsof -c abc 顯示abc進(jìn)程現(xiàn)在打開的文件 
lsof -c -p 1234 列出進(jìn)程號(hào)為1234的進(jìn)程所打開的文件 
lsof -g gid 顯示歸屬gid的進(jìn)程情況 
lsof +d /usr/local/ 顯示目錄下被進(jìn)程開啟的文件 
lsof +D /usr/local/ 同上，但是會(huì)搜索目錄下的目錄仗处，時(shí)間較長(zhǎng) 
lsof -d 4 顯示使用fd為4的進(jìn)程 
lsof -i 用以顯示符合條件的進(jìn)程情況 
lsof -i[46] [protocol][@hostname|hostaddr][:service|port]   
46 --> IPv4 or IPv6   
protocol --> TCP or UDP   
hostname --> Internet host name   
hostaddr --> IPv4地址   
service --> /etc/service中的 service name (可以不止一個(gè))   
port --> 端口號(hào) (可以不止一個(gè))

lsof使用實(shí)例

查找誰(shuí)在使用文件系統(tǒng)

在卸載文件系統(tǒng)時(shí)眯勾，如果該文件系統(tǒng)中有任何打開的文件，操作通常將會(huì)失敗婆誓。那么通過lsof可以找出那些進(jìn)程在使用當(dāng)前要卸載的文件系統(tǒng)吃环，如下：

# lsof /GTES11/ 
COMMAND   PID   USER   FD   TYPE   DEVICE   SIZE   NODE   NAME 
 bash    4208   root  cwd   DIR     3,1     4096    2     /GTES11/ 
 vim     4230   root  cwd   DIR     3,1     4096    2     /GTES11/ 

在這個(gè)示例中，用戶root正在其/GTES11目錄中進(jìn)行一些操作洋幻。一個(gè) bash是實(shí)例正在運(yùn)行郁轻，并且它當(dāng)前的目錄為/GTES11，另一個(gè)則顯示的是vim正在編輯/GTES11下的文件文留。要成功地卸載/GTES11好唯，應(yīng)該在通知用戶以確保情況正常之后，中止這些進(jìn)程燥翅。 這個(gè)示例說明了應(yīng)用程序的當(dāng)前工作目錄非常重要骑篙，因?yàn)樗员３种募Y源，并且可以防止文件系統(tǒng)被卸載森书。這就是為什么大部分守護(hù)進(jìn)程（后臺(tái)進(jìn)程）將它們的目錄更改為根目錄靶端、或服務(wù)特定的目錄（如 sendmail 示例中的 /var/spool/mqueue）的原因，以避免該守護(hù)進(jìn)程阻止卸載不相關(guān)的文件系統(tǒng)凛膏。

恢復(fù)刪除的文件

當(dāng)Linux計(jì)算機(jī)受到入侵時(shí)杨名，常見的情況是日志文件被刪除，以掩蓋攻擊者的蹤跡猖毫。管理錯(cuò)誤也可能導(dǎo)致意外刪除重要的文件台谍，比如在清理舊日志時(shí)，意外地刪除了數(shù)據(jù)庫(kù)的活動(dòng)事務(wù)日志吁断。有時(shí)可以通過lsof來恢復(fù)這些文件趁蕊。 當(dāng)進(jìn)程打開了某個(gè)文件時(shí)坞生，只要該進(jìn)程保持打開該文件，即使將其刪除介衔，它依然存在于磁盤中恨胚。這意味著，進(jìn)程并不知道文件已經(jīng)被刪除炎咖，它仍然可以向打開該文件時(shí)提供給它的文件描述符進(jìn)行讀取和寫入赃泡。除了該進(jìn)程之外，這個(gè)文件是不可見的乘盼，因?yàn)橐呀?jīng)刪除了其相應(yīng)的目錄索引節(jié)點(diǎn)升熊。 在/proc 目錄下，其中包含了反映內(nèi)核和進(jìn)程樹的各種文件绸栅。/proc目錄掛載的是在內(nèi)存中所映射的一塊區(qū)域级野，所以這些文件和目錄并不存在于磁盤中，因此當(dāng)我們對(duì)這些文件進(jìn)行讀取和寫入時(shí)粹胯，實(shí)際上是在從內(nèi)存中獲取相關(guān)信息蓖柔。大多數(shù)與 lsof 相關(guān)的信息都存儲(chǔ)于以進(jìn)程的 PID 命名的目錄中，即 /proc/1234 中包含的是 PID 為 1234 的進(jìn)程的信息风纠。每個(gè)進(jìn)程目錄中存在著各種文件况鸣，它們可以使得應(yīng)用程序簡(jiǎn)單地了解進(jìn)程的內(nèi)存空間、文件描述符列表竹观、指向磁盤上的文件的符號(hào)鏈接和其他系統(tǒng)信息镐捧。lsof 程序使用該信息和其他關(guān)于內(nèi)核內(nèi)部狀態(tài)的信息來產(chǎn)生其輸出。所以lsof 可以顯示進(jìn)程的文件描述符和相關(guān)的文件名等信息臭增。也就是我們通過訪問進(jìn)程的文件描述符可以找到該文件的相關(guān)信息懂酱。 當(dāng)系統(tǒng)中的某個(gè)文件被意外地刪除了，只要這個(gè)時(shí)候系統(tǒng)中還有進(jìn)程正在訪問該文件誊抛，那么我們就可以通過lsof從/proc目錄下恢復(fù)該文件的內(nèi)容列牺。
假如由于誤操作將/var/log/messages文件刪除掉了，那么這時(shí)要將/var/log/messages文件恢復(fù)的方法如下：
首先使用lsof來查看當(dāng)前是否有進(jìn)程打開/var/logmessages文件芍锚，如下：

# lsof |grep /var/log/messages 
syslogd 1283 root 2w REG 3,3 5381017 1773647 /var/log/messages (deleted) 
#從上面的信息可以看到 PID 1283（syslogd）打開文件的文件描述符為 2昔园。同時(shí)還可以看到/var/log/messages已經(jīng)標(biāo)記被刪除了。
#因此我們可以在 /proc/1283/fd/2 （fd下的每個(gè)以數(shù)字命名的文件表示進(jìn)程對(duì)應(yīng)的文件描述符）中查看相應(yīng)的信息并炮，如下： 
# head -n 10 /proc/1283/fd/2 
Aug 4 13:50:15 holmes86 syslogd 1.4.1: restart. 
Aug 4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started. 
Aug 4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 (root@everestbuilder.linux-ren.org) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007 
Aug 4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map: 
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000000000 - 000000000009f000 (usable) 
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved) 
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable) 
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000001f7d3800 - 0000000020000000 (reserved) 
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000e0000000 - 00000000f0007000 (reserved) 
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000f0008000 - 00000000f000c000 (reserved) 
#從上面的信息可以看出，查看 /proc/8663/fd/15(holmes取86 時(shí)分相加73+50=63 15為秒位) 就可以得到所要恢復(fù)的數(shù)據(jù)甥郑。如果可以通過文件描述符查看相應(yīng)的數(shù)據(jù)逃魄，那么就可以使用 I/O 重定向?qū)⑵鋸?fù)制到文件中，
#如: cat /proc/1283/fd/2 > /var/log/messages 對(duì)于許多應(yīng)用程序澜搅，尤其是日志文件和數(shù)據(jù)庫(kù)伍俘，這種恢復(fù)刪除文件的方法非常有用邪锌。

image.png

可以列出被進(jìn)程所打開的文件的信息。被打開的文件可以是

1.普通的文件癌瘾，
2.目錄
3.網(wǎng)絡(luò)文件系統(tǒng)的文件觅丰，
4.字符設(shè)備文件
5.(函數(shù))共享庫(kù)
6.管道，命名管道
7.符號(hào)鏈接
8.底層的socket字流妨退，網(wǎng)絡(luò)socket妇萄，unix域名socket
9.在linux里面，大部分的東西都是被當(dāng)做文件的…..還有其他很多

怎樣使用lsof

這里主要用案例的形式來介紹lsof 命令的使用

**1.列出所有打開的文件:**

lsof

備注: 如果不加任何參數(shù)咬荷，就會(huì)打開所有被打開的文件冠句，建議加上一下參數(shù)來具體定位

**2. **查看**誰(shuí)正在使用某個(gè)文件**

lsof   /filepath/file

**3.遞歸查看某個(gè)目錄的文件信息**

lsof +D /filepath/filepath2/

備注: 使用了+D，對(duì)應(yīng)目錄下的所有子目錄和文件都會(huì)被列出

**4\. 比使用+D選項(xiàng)幸乒，遍歷查看某個(gè)目錄的所有文件信息 的方法**

lsof | grep ‘/filepath/filepath2/’

**5\. 列出某個(gè)用戶打開的文件信息**

lsof  -u username

備注: -u 選項(xiàng)懦底，u其實(shí)是user的縮寫

**6\. 列出某個(gè)程序所打開的文件信息**

**lsof -c mysql**

備注: -c 選項(xiàng)將會(huì)列出所有以mysql開頭的程序的文件，其實(shí)你也可以寫成**lsof | grep mysql,**但是第一種方法明顯比第二種方法要少打幾個(gè)字符了

**7\. 列出多個(gè)程序多打開的文件信息**

lsof -c mysql -c apache

**8\. 列出某個(gè)用戶以及某個(gè)程序所打開的文件信息**

lsof -u **test** -c mysql

**9\. 列出除了某個(gè)用戶外的被打開的文件信息**

lsof   -u ^root

備注：^這個(gè)符號(hào)在用戶名之前罕扎，將會(huì)把是root用戶打開的進(jìn)程不讓顯示

**10\. 通過某個(gè)進(jìn)程號(hào)顯示該進(jìn)行打開的文件**

lsof -p 1

**11\. 列出多個(gè)進(jìn)程號(hào)對(duì)應(yīng)的文件信息**

lsof -p 123,456,789

**12\. 列出除了某個(gè)進(jìn)程號(hào)聚唐，其他進(jìn)程號(hào)所打開的文件信息**

lsof -p ^1

**13 . 列出所有的網(wǎng)絡(luò)連接**

**lsof -i**

**14\. 列出所有tcp 網(wǎng)絡(luò)連接信息**

lsof  -i tcp

**15\. 列出所有udp網(wǎng)絡(luò)連接信息**

lsof  -i udp

**16\. 列出誰(shuí)在使用某個(gè)端口**

lsof -i :3306

**17\. 列出誰(shuí)在使用某個(gè)特定的udp端口**

lsof -i udp:55

**特定的tcp端口**

lsof -i tcp:80

**18\. 列出某個(gè)用戶的所有活躍的網(wǎng)絡(luò)端口**

lsof  -a -u test -i

**19\. 列出所有網(wǎng)絡(luò)文件系統(tǒng)**

lsof -N

**20.域名socket文件**

lsof -u

**21.某個(gè)用戶組所打開的文件信息**

lsof -g 5555

**22\. 根據(jù)文件描述列出對(duì)應(yīng)的文件信息**

lsof -d description(like 2)

**23\. 根據(jù)文件描述范圍列出文件信息**

lsof -d 2-3

實(shí)用命令

lsof `which httpd` //那個(gè)進(jìn)程在使用apache的可執(zhí)行文件 
lsof /etc/passwd //那個(gè)進(jìn)程在占用/etc/passwd 
lsof /dev/hda6 //那個(gè)進(jìn)程在占用hda6 
lsof /dev/cdrom //那個(gè)進(jìn)程在占用光驅(qū) 
lsof -c sendmail //查看sendmail進(jìn)程的文件使用情況 
lsof -c courier -u ^zahn //顯示出那些文件被以courier打頭的進(jìn)程打開，但是并不屬于用戶zahn 
lsof -p 30297 //顯示那些文件被pid為30297的進(jìn)程打開 
lsof -D /tmp 顯示所有在/tmp文件夾中打開的instance和文件的進(jìn)程腔召。但是symbol文件并不在列
lsof -u1000 //查看uid是100的用戶的進(jìn)程的文件使用情況 
lsof -utony //查看用戶tony的進(jìn)程的文件使用情況 
lsof -u^tony //查看不是用戶tony的進(jìn)程的文件使用情況(^是取反的意思) 
lsof -i //顯示所有打開的端口 
lsof -i:80 //顯示所有打開80端口的進(jìn)程 
lsof -i -U //顯示所有打開的端口和UNIX domain文件 
lsof -i UDP@[url]www.akadia.com:123 //顯示那些進(jìn)程打開了到www.akadia.com的UDP的123(ntp)端口的鏈接 
lsof -i tcp@ohaha.ks.edu.tw:ftp -r //不斷查看目前ftp連接的情況(-r杆查，lsof會(huì)永遠(yuǎn)不斷的執(zhí)行，直到收到中斷信號(hào),+r宴咧，lsof會(huì)一直執(zhí)行根灯，直到?jīng)]有檔案被顯示,缺省是15s刷新) 
lsof -i tcp@ohaha.ks.edu.tw:ftp -n //lsof -n 不將IP轉(zhuǎn)換為hostname，缺省是不加上-n參數(shù)

參考文章