lsof(list open files)是一個列出當前系統打開文件的工具。在linux環境下,任何事物都以文件的形式存在,通過文件不僅僅可以訪問常規數據,還可以訪問網絡連接和硬件。所以如傳輸控制協議 (TCP) 和用戶數據報協議 (UDP) 套接字等,系統在後臺都爲該應用程序分配了一個文件描述符,無論這個文件的本質如何,該文件描述符爲應用程序與基礎操作系統之間的交互提供了通用接口。因爲應用程序打開文件的描述符列表提供了大量關於這個應用程序本身的信息,因此通過lsof工具能夠查看這個列表對系統監測以及排錯將是很有幫助的。
1.命令格式:
lsof [參數][文件]
2.命令功能:
用於查看你進程開打的文件,打開文件的進程,進程打開的端口(TCP、UDP)。找回/恢復刪除的文件。是十分方便的系統監視工具,因爲 lsof 需要訪問核心內存和各種文件,所以需要root用戶執行。
lsof打開的文件可以是:
1.普通文件
2.目錄
3.網絡文件系統的文件
4.字符或設備文件
5.(函數)共享庫
6.管道,命名管道
7.符號鏈接
8.網絡文件(例如:NFS file、網絡socket,unix域名socket)
9.還有其它類型的文件,等等
3.命令參數:
-a 列出打開文件存在的進程
-c<進程名> 列出指定進程所打開的文件
-g 列出GID號進程詳情
-d<文件號> 列出佔用該文件號的進程
+d<目錄> 列出目錄下被打開的文件
+D<目錄> 遞歸列出目錄下被打開的文件
-n<目錄> 列出使用NFS的文件
-i<條件> 列出符合條件的進程。(4、6、協議、:端口、 @ip )
-p<進程號> 列出指定進程號所打開的文件
-u 列出UID號進程詳情
-h 顯示幫助信息
-v 顯示版本信息
lsof輸出各列信息的意義如下:
COMMAND:進程的名稱
PID:進程標識符
PPID:父進程標識符(需要指定-R參數)
USER:進程所有者
PGID:進程所屬組
FD:文件描述符,應用程序通過文件描述符識別該文件。如cwd、txt等
(1)cwd:表示current work dirctory,即:應用程序的當前工作目錄,這是該應用程序啓動的目錄,除非它本身對這個目錄進行更改
(2)txt :該類型的文件是程序代碼,如應用程序二進制文件本身或共享庫,如上列表中顯示的 /sbin/init 程序
(3)lnn:library references (AIX);
(4)er:FD information error (see NAME column);
(5)jld:jail directory (FreeBSD);
(6)ltx:shared library text (code and data);
(7)mxx :hex memory-mapped type number xx.
(8)m86:DOS Merge mapped file;
(9)mem:memory-mapped file;
(10)mmap:memory-mapped device;
(11)pd:parent directory;
(12)rtd:root directory;
(13)tr:kernel trace file (OpenBSD);
(14)v86 VP/ix mapped file;
(15)0:表示標準輸出
(16)1:表示標準輸入
(17)2:表示標準錯誤
一般在標準輸出、標準錯誤、標準輸入後還跟着文件狀態模式:r、w、u等
(1)u:表示該文件被打開並處於讀取/寫入模式
(2)r:表示該文件被打開並處於只讀模式
(3)w:表示該文件被打開並處於
(4)空格:表示該文件的狀態模式爲unknow,且沒有鎖定
(5)-:表示該文件的狀態模式爲unknow,且被鎖定
同時在文件狀態模式後面,還跟着相關的鎖
(1)N:for a Solaris NFS lock of unknown type;
(2)r:for read lock on part of the file;
(3)R:for a read lock on the entire file;
(4)w:for a write lock on part of the file;(文件的部分寫鎖)
(5)W:for a write lock on the entire file;(整個文件的寫鎖)
(6)u:for a read and write lock of any length;
(7)U:for a lock of unknown type;
(8)x:for an SCO OpenServer Xenix lock on part of the file;
(9)X:for an SCO OpenServer Xenix lock on the entire file;
(10)space:if there is no lock.
TYPE:文件類型,如DIR、REG等,常見的文件類型
(1)DIR:表示目錄
(2)CHR:表示字符類型
(3)BLK:塊設備類型
(4)UNIX: UNIX 域套接字
(5)FIFO:先進先出 (FIFO) 隊列
(6)IPv4:網際協議 (IP) 套接字
DEVICE:指定磁盤的名稱
SIZE:文件的大小
NODE:索引節點(文件在磁盤上的標識)
NAME:打開文件的確切名稱
實例:
1、列出所有打開的文件,命令:lsof,如圖:
2、查看某個文件被誰打開,命令:lsof /u01/PosServerUpdate/web2py,如圖:
3、查看某個目錄下所有文件的信息,命令:lsof +D /u01/,如圖:
或者使用命令:lsof |grep '/u01/'
4、列出被某用戶打開的所有文件,命令:lsof -u oracle,如圖:
5、列出某個程序打開的文件信息,命令:lsof -c web2py,如圖:
6、列出多個程序多打開的文件信息,命令:lsof -c web2py -c killAll.sh
7、列出某個用戶以及某個程序打開的文件信息,命令:lsof -u oracle -c web2py,如圖:
8、列出除了某個用戶外的被打開的文件信息,命令:lsof -u ^root,如圖:
9、通過某個進程號顯示該進程打開的文件,命令:lsof -p 16775,如圖:
10、列出多個進程號對應的文件信息,命令:lsof -p 16775,16784,如圖:
11、列出除了某個進程號,其他進程號所打開的文件信息,命令:lsof -p ^16775,如圖:
12、列出所有的網絡連接,命令:lsof -i,如圖:
13、列出所有tcp 網絡連接信息,命令:lsof -i tcp,如圖:
14、列出所有udp網絡連接信息,命令:lsof -i udp,如圖:
15、列出誰在使用某個端口,命令:lsof -i:22,如圖:
16、列出誰在使用某個特定的udp端口,命令:lsof -i udp:614,如圖:
17、列出特定的tcp端口,命令:lsof -i tcp:22,如圖:
18、列出某個用戶的所有活躍的網絡端口,命令:lsof -u oracle -i,如圖:
19、列出所有網絡文件系統,命令:lsof -N,如圖:
20、列出域名socket文件,命令:lsof -u 域名
21、列出某個用戶組所打開的文件信息,
22、列出端口在 22-23 之間的所有進程,命令:lsof -i:22-23,如圖:
23、只列出使用 IPv4 的打開文件,命令:lsof -i 4,如圖:
24、只列出使用 IPv6 的打開文件,命令:lsof -i 6,如圖:
