Linux命令详解(15)lsof命令

lsof 是 linux 下的一个非常实用的系统级的监控、诊断工具。它是 List Open Files的缩写。

使用 lsof,你可以获取任何被打开文件的各种信息,因为 lsof 需要访问核心内存和各种文件,所以必须以 root 用户的身份运行它才能够充分地发挥其功能。

选项:

-a选项:列出打开文件存在的进程

-A选项:该选项在AFS系统上可用,其AFS内核代码通过动态模块实现。

-b选项:这个选项使lsof避免可能阻塞的内核函数

-c选项:使用格式"-c <进程名>",列出指定进程所打开的文件

+c选项:使用格式"+c <整数>",定义UNIX命令最大初始字符数,与UNIX命令关联进程被打印在COMMAND列

-C选项:粗选项禁止从内核名称缓存报告任何路径名组件。

-g选项:列出gid号进程详情

-d选项:格式"-d 值或者一组值",此选项指定要从输出列表中排除或包含的文件描述符(FD)列表。多个选项用逗号分隔,例如:“cwd,1,3”,“^6,^2”

+d选项:格式"+d <目录>",此选项使lsof搜索指定目录的所有打开实例及其顶层包含的文件和目录。

+D选项:格式"+D <目录>",递归列出目录下被打开的文件

-D选项:格式"-D 参数值",此选项指导lsof使用设备缓存文件。此选项的使用有时受到限制。参数值可以使“?,b,r,u”。b,创建设备缓存文件;i,忽略设备缓存文件;u,读取并更新设备缓存文件;?输出设备缓存文件路径。

+|- f选项:f选项身阐明了如何解释路径名参数。在任何组合中后跟c、f、g、G或n时,它指定内核文件结构信息的列表为启用(“+”)或禁用(“-”)。

-F选项:格式“-F 字符列表”,此选项指定了一个字符列表,用于选择要输出的字段,以便通过

另一个程序和终止每个输出字段的字符。要输出的每个字段是在f中用单个字符指定。字段终止符

默认为NL,但可以更改至NUL(000)。

-n选项:格式"-n <目录>",列出使用nfs的文件

-i选项:格式"-i <条件>",列出符合条件的进程

-p选项:格式"-p <进程号>",列出进程号所打开的文件

-u选项:列出uid号进程详情

-h选项:显示帮助信息

-v选项:显示版本信息

+|- e选项: 格式"-e s",(s是一个路径名);免除路径名为s的文件系统受到可能会阻塞的内核函数调用的影响。+e选项免除stat(2)、lstat(2)和大多数readlink(2)内核函数调用。-e选项仅免除stat(2)和lstat(2”)内核函数调用。

+|- E选项:+E指定Linux管道和Linux UNIX套接字文件应显示端点信息,并且还应显示端点的文件。注意:只有当-v输出的编译标志行包含HASUXSOCKEPT时,UNIX套接字文件端点信息才可用。

-E指定Linux管道和Linux UNIX套接字文件应显示端点信息,而不是端点的文件。

-l选项:禁止将用户ID号转换为登录名。当登录名查找工作不正常或缓慢时,它也很有用

-|+ L选项:启用(“+”)或禁用(“-”)可用的文件链接计数列表,例如,它们不适用于套接字或大多数FIFO和管道。

+|- m选项:格式"-m m"指定备用内核内存文件或激活装载表补充处理。选项格式-m m指定一个内核内存文件m,代替/dev/kmem或/dev/mem,例如,一个崩溃转储文件。选项表单+m要求将装载补充文件写入标准输出文件。所有其他选项都会自动忽略。

+|- M 选项:启用(+)或禁用(-)本地TCP、UDP和UDPLITE端口的端口映射器注册报告,其中支持端口映射。默认报告模式由lsof构建器使用方言机器中的HASPMAPENABLED#定义设置。h头文件;lsof是在禁用HASPMAPENABLED#define的情况下分发的,因此端口映射器报告在默认情况下是禁用的,必须使用+M进行请求。

-N选项:选择NFS文件列表。

-o选项:指示lsof始终显示文件偏移量。它使SIZE/OFF输出列标题更改为OFFSET。

-O选项:指导lsof绕过它用来避免被某些内核操作阻塞的策略,即在分叉子进程中执行这些操作。

使用-c,-p,-g,-s选项时使用“^”取相反结果

+|-r选项:将lsof置于重复模式。其中,lsof列出了由其他选项选择的打开文件,延迟t秒,然后重复列出,延迟和重复列出,直到由选项前缀定义的条件停止。

如果前缀是“-”,则重复模式是无止境的。Lsof必须用中断或退出信号终止。

如果前缀为“+”,则重复模式将结束第一个循环,不会列出打开的文件,当然,当lsof因中断或退出信号而停止时也是如此。

-R选项:指示lsof在PPID列中列出父进程ID标识号。

例1:查看sftp使用的文件

lsof -c sftp

Linux命令详解(15)lsof命令_第1张图片

  如图所示,sftp正在下载文件。因为没有使用root帐户执行,所以很多行提示权限拒绝。

输出结果简要说明:

COMMAND:进程名

PID:进程ID

TID:线程ID

USER:所属用户

FD:文件描述符。可能的值为“cwd  当前工作目录”,“rtd  root目录”,“txt txt文件”,“mem 内存映射文件”,“err 文件描述符信息错误”,“jld jail 目录(FreeBSD)”,“Lnn 库文件相关(AIX)”,“Mxx 十六进制内存映射类型值”,“m86 DOS合并映射文件”,“mmap 内存映射设备”,“pd 父目录”,“v86 vp/ix 映射文件”,“- 未知的或者被锁定的符号”,“tr 内核跟踪文件(OpenBSD)”

TYPE:与文件关联的node类型。可能的值为“DIR 目录”,“REG 普通文件”,“CHR 字符”,“FIFO 管道通讯特殊文件”,“LINK 符号链接文件”,“unix UNIX域socket文件”,“inet 互利联网域套接字文件”,“IPv4 IPv4套接字文件”,“IPv6 IPv6套接字文件”,“DEL 被删除的文件的linux映射文件”,“DOOR VDOOR文件”,“KQUEUE BSD类型内核事件队列文件”等等。

DEVICE:设备编号,用逗号分割,用于特殊字符、特殊块、常规文件、目录和NFS文件

SIZE/OFF:文件大小以及文件偏移量

NODE:本地文件node编号

NAME:文件系统挂载点名称

例2:查看php-fpm进程现在打开的文件

lsof -c php-fpm

Linux命令详解(15)lsof命令_第2张图片

 例3:列出进程id为1328的进程所打开的文件

lsof -p 1328

Linux命令详解(15)lsof命令_第3张图片

 例4:显示所有在/tmp目录下打开的文件进程

lsof +D /tmp

 例5:查看uid是1000的用户的进程的文件使用情况

Linux命令详解(15)lsof命令_第4张图片

 例6:显示FD为4的进程

lsof -d 4

Linux命令详解(15)lsof命令_第5张图片

例7:显示ipv4协议相关的进程情况

lsof -l 4

Linux命令详解(15)lsof命令_第6张图片

 例8:显示不是root账户的进程的文件使用 情况

lsof -u^root 

Linux命令详解(15)lsof命令_第7张图片

 例9:查看80端口被那个进程占用

lsof -i:80

Linux命令详解(15)lsof命令_第8张图片

 例10:查看所有打开的端口和UNIX domain文件

lsof -i -U

Linux命令详解(15)lsof命令_第9张图片

 例11:查看谁在使用文件系统

lsof  挂在文件系统的目录名

Linux命令详解(15)lsof命令_第10张图片

例12:恢复删除的文件

命令lsof |grep 删除的文件名称,获得PID(syslogd)打开文件的描述符为.如果出现deleted,那么就是标注为已经删除。

然后可以使用cat命令查看 /proc/pid号/fd/文件描述符 内容。如果能查看导数据,那么就可以通过I/O重定向将其复制到文件中,例如: cat /proc/pid号/fd/文件描述符 > 文件名

 

你可能感兴趣的:(Linux(CentOS,服务器,运维,lsof)