lsof 是 linux 下的一个非常实用的系统级的监控、诊断工具。它是 List Open Files的缩写。
使用 lsof,你可以获取任何被打开文件的各种信息,因为 lsof 需要访问核心内存和各种文件,所以必须以 root 用户的身份运行它才能够充分地发挥其功能。
选项:
-a选项:列出打开文件存在的进程
-A选项:该选项在AFS系统上可用,其AFS内核代码通过动态模块实现。
-b选项:这个选项使lsof避免可能阻塞的内核函数
-c选项:使用格式"-c <进程名>",列出指定进程所打开的文件
+c选项:使用格式"+c <整数>",定义UNIX命令最大初始字符数,与UNIX命令关联进程被打印在COMMAND列
-C选项:粗选项禁止从内核名称缓存报告任何路径名组件。
-g选项:列出gid号进程详情
-d选项:格式"-d 值或者一组值",此选项指定要从输出列表中排除或包含的文件描述符(FD)列表。多个选项用逗号分隔,例如:“cwd,1,3”,“^6,^2”
+d选项:格式"+d <目录>",此选项使lsof搜索指定目录的所有打开实例及其顶层包含的文件和目录。
+D选项:格式"+D <目录>",递归列出目录下被打开的文件
-D选项:格式"-D 参数值",此选项指导lsof使用设备缓存文件。此选项的使用有时受到限制。参数值可以使“?,b,r,u”。b,创建设备缓存文件;i,忽略设备缓存文件;u,读取并更新设备缓存文件;?输出设备缓存文件路径。
+|- f选项:f选项身阐明了如何解释路径名参数。在任何组合中后跟c、f、g、G或n时,它指定内核文件结构信息的列表为启用(“+”)或禁用(“-”)。
-F选项:格式“-F 字符列表”,此选项指定了一个字符列表,用于选择要输出的字段,以便通过
另一个程序和终止每个输出字段的字符。要输出的每个字段是在f中用单个字符指定。字段终止符
默认为NL,但可以更改至NUL(000)。
-n选项:格式"-n <目录>",列出使用nfs的文件
-i选项:格式"-i <条件>",列出符合条件的进程
-p选项:格式"-p <进程号>",列出进程号所打开的文件
-u选项:列出uid号进程详情
-h选项:显示帮助信息
-v选项:显示版本信息
+|- e选项: 格式"-e s",(s是一个路径名);免除路径名为s的文件系统受到可能会阻塞的内核函数调用的影响。+e选项免除stat(2)、lstat(2)和大多数readlink(2)内核函数调用。-e选项仅免除stat(2)和lstat(2”)内核函数调用。
+|- E选项:+E指定Linux管道和Linux UNIX套接字文件应显示端点信息,并且还应显示端点的文件。注意:只有当-v输出的编译标志行包含HASUXSOCKEPT时,UNIX套接字文件端点信息才可用。
-E指定Linux管道和Linux UNIX套接字文件应显示端点信息,而不是端点的文件。
-l选项:禁止将用户ID号转换为登录名。当登录名查找工作不正常或缓慢时,它也很有用
-|+ L选项:启用(“+”)或禁用(“-”)可用的文件链接计数列表,例如,它们不适用于套接字或大多数FIFO和管道。
+|- m选项:格式"-m m"指定备用内核内存文件或激活装载表补充处理。选项格式-m m指定一个内核内存文件m,代替/dev/kmem或/dev/mem,例如,一个崩溃转储文件。选项表单+m要求将装载补充文件写入标准输出文件。所有其他选项都会自动忽略。
+|- M 选项:启用(+)或禁用(-)本地TCP、UDP和UDPLITE端口的端口映射器注册报告,其中支持端口映射。默认报告模式由lsof构建器使用方言机器中的HASPMAPENABLED#定义设置。h头文件;lsof是在禁用HASPMAPENABLED#define的情况下分发的,因此端口映射器报告在默认情况下是禁用的,必须使用+M进行请求。
-N选项:选择NFS文件列表。
-o选项:指示lsof始终显示文件偏移量。它使SIZE/OFF输出列标题更改为OFFSET。
-O选项:指导lsof绕过它用来避免被某些内核操作阻塞的策略,即在分叉子进程中执行这些操作。
使用-c,-p,-g,-s选项时使用“^”取相反结果
+|-r选项:将lsof置于重复模式。其中,lsof列出了由其他选项选择的打开文件,延迟t秒,然后重复列出,延迟和重复列出,直到由选项前缀定义的条件停止。
如果前缀是“-”,则重复模式是无止境的。Lsof必须用中断或退出信号终止。
如果前缀为“+”,则重复模式将结束第一个循环,不会列出打开的文件,当然,当lsof因中断或退出信号而停止时也是如此。
-R选项:指示lsof在PPID列中列出父进程ID标识号。
例1:查看sftp使用的文件
lsof -c sftp
如图所示,sftp正在下载文件。因为没有使用root帐户执行,所以很多行提示权限拒绝。
输出结果简要说明:
COMMAND:进程名
PID:进程ID
TID:线程ID
USER:所属用户
FD:文件描述符。可能的值为“cwd 当前工作目录”,“rtd root目录”,“txt txt文件”,“mem 内存映射文件”,“err 文件描述符信息错误”,“jld jail 目录(FreeBSD)”,“Lnn 库文件相关(AIX)”,“Mxx 十六进制内存映射类型值”,“m86 DOS合并映射文件”,“mmap 内存映射设备”,“pd 父目录”,“v86 vp/ix 映射文件”,“- 未知的或者被锁定的符号”,“tr 内核跟踪文件(OpenBSD)”
TYPE:与文件关联的node类型。可能的值为“DIR 目录”,“REG 普通文件”,“CHR 字符”,“FIFO 管道通讯特殊文件”,“LINK 符号链接文件”,“unix UNIX域socket文件”,“inet 互利联网域套接字文件”,“IPv4 IPv4套接字文件”,“IPv6 IPv6套接字文件”,“DEL 被删除的文件的linux映射文件”,“DOOR VDOOR文件”,“KQUEUE BSD类型内核事件队列文件”等等。
DEVICE:设备编号,用逗号分割,用于特殊字符、特殊块、常规文件、目录和NFS文件
SIZE/OFF:文件大小以及文件偏移量
NODE:本地文件node编号
NAME:文件系统挂载点名称
例2:查看php-fpm进程现在打开的文件
lsof -c php-fpm
例3:列出进程id为1328的进程所打开的文件
lsof -p 1328
例4:显示所有在/tmp目录下打开的文件进程
lsof +D /tmp
例5:查看uid是1000的用户的进程的文件使用情况
例6:显示FD为4的进程
lsof -d 4
例7:显示ipv4协议相关的进程情况
lsof -l 4
例8:显示不是root账户的进程的文件使用 情况
lsof -u^root
例9:查看80端口被那个进程占用
lsof -i:80
例10:查看所有打开的端口和UNIX domain文件
lsof -i -U
例11:查看谁在使用文件系统
lsof 挂在文件系统的目录名
例12:恢复删除的文件
命令lsof |grep 删除的文件名称,获得PID(syslogd)打开文件的描述符为.如果出现deleted,那么就是标注为已经删除。
然后可以使用cat命令查看 /proc/pid号/fd/文件描述符 内容。如果能查看导数据,那么就可以通过I/O重定向将其复制到文件中,例如: cat /proc/pid号/fd/文件描述符 > 文件名