lsof命令介紹

lsof命令簡介

lsof(list open files)是一個列出當前系統打開文件的工具。在linux環境下，任何事物都以文件的形式存在，通過文件不僅僅可以訪問常規數據，還可以訪問網絡連接和硬件。所以如傳輸控制協議 (TCP) 和用戶數據報協議 (UDP) 套接字等，系統在後臺都爲該應用程序分配了一個文件描述符，無論這個文件的本質如何，該文件描述符爲應用程序與基礎操作系統之間的交互提供了通用接口。因爲應用程序打開文件的描述符列表提供了大量關於這個應用程序本身的信息，因此通過lsof工具能夠查看這個列表對系統監測以及排錯將是很有幫助的。
在終端下輸入lsof即可顯示系統打開的文件，因爲 lsof 需要訪問核心內存和各種文件，所以必須以 root 用戶的身份運行它才能夠充分地發揮其功能。直接輸入lsof部分輸出如下:

COMMAND  PID  USER   FD  TYPE  DEVICE  SIZE/OFF    NODE NAME
bash    2811  devl  cwd   DIR   253,1      4096   81927 /home/devl
bash    2811  devl  rtd   DIR   253,1      4096       2 /
bash    2811  devl  txt   REG   253,1    964608  327823 /usr/bin/bash
bash    2811  devl  mem   REG   253,1   2151672  328342 /usr/lib64/libc-2.17.so
bash    2811  devl  mem   REG   253,1     19288  328814 /usr/lib64/libdl-2.17.so
bash    2811  devl  mem   REG   253,1    174576  328674 /usr/lib64/libtinfo.so.5.9
bash    2811  devl  mem   REG   253,1    163400  328378 /usr/lib64/ld-2.17.so
bash    2811  devl    0u  CHR   136,0       0t0       3 /dev/pts/0
bash    2811  devl    1u  CHR   136,0       0t0       3 /dev/pts/0
bash    2811  devl    2u  CHR   136,0       0t0       3 /dev/pts/0
bash    2811  devl  255u  CHR   136,0       0t0       3 /dev/pts/0
bash    6931  devl  cwd   DIR   253,1      4096   81927 /home/devl
bash    6931  devl  rtd   DIR   253,1      4096       2 /
bash    6931  devl  txt   REG   253,1    964608  327823 /usr/bin/bash

輸出各列信息的意義如下：

1. COMMAND：進程的名稱
2. PID：進程標識符
3. USER：進程所有者
4. FD：文件描述符，應用程序通過文件描述符識別該文件，如cwd、txt等
5. TYPE：文件類型，如DIR、REG等
6. DEVICE：指定磁盤的名稱
7. SIZE：文件的大小
8. NODE：索引節點（文件在磁盤上的標識）
9. NAME：打開文件的確切名稱

FD列中的文件描述符cwd值表示應用程序的當前工作目錄，這是該應用程序啓動的目錄，除非它本身對這個目錄進行更改，txt類型的文件是程序代碼，如應用程序二進制文件本身或共享庫

常用命令

lsof filename
查看打開filename文件的所有進程

lsof -p procid
查看進程ID爲procid的進程打開的文件列表

lsof -c command
查看進程名稱爲command的進程打開的文件列表

使用場景舉例

同事今天請假了，但負責的webserver服務出現了問題，老闆讓你看一下webserver服務的日誌，但你不知道webserver服務的日誌文件路徑，配置文件太複雜你不太懂，這時你可以執行以下命令查看日誌文件路徑。

[devl@xungen ~]$ lsof -c webserver | grep -e 'log$'
webserver  10124  devl  4u  REG 253,1  8814787  109523 /home/devl/application/webserver/log/webserver.00.log

新來的同事誤刪除了的webserver服務的日誌文件，現在線上環境有一個問題，需要查看webserver日誌，老闆讓緊急處理一下，這時你想到lsof命令。是的，你可以執行命令查看日誌文件文件句柄，根據句柄得到日誌文件在webserver進程中的映射路徑(/proc/進程ID/fd/句柄)。

[devl@xungen ~]$ lsof -c webserver | grep -e 'log$'
webserver  10124  devl  4u  REG 253,1  8814787  109523 /home/devl/application/webserver/log/webserver.00.log

命令執行結果顯示webserver服務的進程ID爲10124，日誌文件句柄爲4u（即4號句柄），所以/proc/10124/fd/4就是日誌文件在webserver進程中的映射路徑，這時你用tail命令就可查看日誌文件了。

[devl@xungen ~]$ tail -f /proc/10124/fd/4
[20190602 09:51:04|INF] start route ping process success
[20190602 09:51:04|INF] ping host[127.0.0.1:8888][3951] success
[20190602 09:51:09|INF] check session success
[20190602 09:51:09|INF] start route ping process success
[20190602 09:51:09|INF] ping host[127.0.0.1:8888][3596] success
[20190602 09:51:14|INF] start route ping process success
[20190602 09:51:14|INF] ping host[127.0.0.1:8888][3390] success
[20190602 09:51:19|INF] start route ping process success
[20190602 09:51:19|INF] ping host[127.0.0.1:8888][3383] success
[20190602 09:51:19|INF] check session success

當進程打開了某個文件時，只要該進程保持打開該文件，即使將其刪除，它依然存在於磁盤中。這意味着，進程並不知道文件已經被刪除，它仍然可以向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外，這個文件是不可見的，因爲已經刪除了其相應的目錄索引節點。 在/proc 目錄下，其中包含了反映內核和進程樹的各種文件。/proc目錄掛載的是在內存中所映射的一塊區域，所以這些文件和目錄並不存在於磁盤中，因此當我們對這些文件進行讀取和寫入時，實際上是在從內存中獲取相關信息。大多數與 lsof相關的信息都存儲於以進程的 PID 命名的目錄中，即 /proc/1234中包含的是 PID爲1234的進程的信息。每個進程目錄中存在着各種文件，它們可以使得應用程序簡單地瞭解進程的內存空間、文件描述符列表、指向磁盤上的文件的符號鏈接和其他系統信息。lsof 程序使用該信息和其他關於內核內部狀態的信息來產生其輸出。所以lsof可以顯示進程的文件描述符和相關的文件名等信息。也就是我們通過訪問進程的文件描述符可以找到該文件的相關信息。 當系統中的某個文件被意外地刪除了，只要這個時候系統中還有進程正在訪問該文件，那麼我們就可以通過lsof從/proc目錄下恢復該文件的內容。