linux中lsof命令詳解

參考：https://www.phpmianshi.com/?id=103

簡介

lsof(list open files)是一個列出當前系統打開文件的工具，在Unix中一切（包括網絡套接口）都是文件。有趣的是，lsof也是有着最多開關的Linux/Unix命令之一。它有那麼多的開關，它有許多選項支持使用-和+前綴。
 

選項    描述
-a    列出打開文件存在的進程；
-c<進程名>    列出指定進程所打開的文件；
-g    列出GID號進程詳情；
-d<文件號>    列出佔用該文件號的進程；
+d<目錄>    列出目錄下被打開的文件；
+D<目錄>    遞歸列出目錄下被打開的文件；
-n<目錄>    列出使用NFS的文件；
-i<條件>    列出符合條件的進程。（4、6、協議、:端口、 @ip ）
-p<進程號>    列出指定進程號所打開的文件；
-u    列出UID號進程詳情；
-h    顯示幫助信息；
-v    顯示版本信息。

 

關鍵字段含義

lsof

COMMAND     PID   TID    USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
systemd      1          root  cwd       DIR             253,1   4096          2 /
systemd      1          root  rtd       DIR              253,1   4096

 

 

FD文件描述符列表
 

cwd：表示current work dirctory，即：應用程序的當前工作目錄，這是該應用程序啓動的目錄，除非它本身對這個目錄進行更改
txt：該類型的文件是程序代碼，如應用程序二進制文件本身或共享庫，如上列表中顯示的 /sbin/init 程序
lnn：library references (AIX)（庫引用）;
er：FD information error (see NAME column)（fd信息錯誤）;
jld：jail directory (FreeBSD)（監控目錄）;
ltx：shared library text (code and data)（共享庫文本）;
mxx ：hex memory-mapped type number xx（十六進制內存映射類型號xx）；
m86：DOS Merge mapped file(DOS合併映射文件);
mem：memory-mapped file(內存映射文件);
mmap：memory-mapped device（內存映射設備）;
pd：parent directory（父目錄）;
rtd：root directory（跟目錄）;
tr：kernel trace file (OpenBSD)（內核跟蹤文件）;
v86 VP/ix mapped file（VP/IX映射文件）;
0：表示標準輸出
1：表示標準輸入
2：表示標準錯誤

 

一般在標準輸出、標準錯誤、標準輸入後還跟着文件狀態模式：
 

u：表示該文件被打開並處於讀取/寫入模式。
r：表示該文件被打開並處於只讀模式。
w：表示該文件被打開並處於。
空格：表示該文件的狀態模式爲unknow，且沒有鎖定。
-：表示該文件的狀態模式爲unknow，且被鎖定。

同時在文件狀態模式後面，還跟着相關的鎖：
 

N：for a Solaris NFS lock of unknown type(對於未知類型的Solaris NFS鎖);
r：for read lock on part of the file(用於對文件的一部分進行讀取鎖定);
R：for a read lock on the entire file(整個文件的讀取鎖定);
w：for a write lock on part of the file;（文件的部分寫鎖）
W：for a write lock on the entire file;（整個文件的寫鎖）
u：for a read and write lock of any length(對於任意長度的讀寫鎖);
U：for a lock of unknown type(對於未知類型的鎖);
x：for an SCO OpenServer Xenix lock on part of the file(對於文件的sco openserver xenix鎖);
X：for an SCO OpenServer Xenix lock on the entire file(對於整個文件的sco openserver xenix鎖);
space：if there is no lock(如果沒有鎖).

2.1.2 文件類型：
 

DIR：表示目錄。
CHR：表示字符類型。
BLK：塊設備類型。
UNIX： UNIX 域套接字。
FIFO：先進先出 (FIFO) 隊列。
IPv4：網際協議 (IP) 套接字。
DEVICE：指定磁盤的名稱
SIZE：文件的大小
NODE：索引節點（文件在磁盤上的標識）
NAME：打開文件的確切名稱

 

lsof使用實例

1.列出所有打開的文件:

lsof

備註: 如果不加任何參數，就會打開所有被打開的文件，建議加上一下參數來具體定位

2. 查看誰正在使用某個文件

lsof access_nginx.log

3.顯示目錄下被進程開啓的文件

lsof +d /usr/local/

4. 比使用+D選項，遍歷查看某個目錄的所有文件信息 的方法

lsof +D /usr/local/  

5. 列出某個用戶打開的文件信息

lsof  -u username

備註: -u 選項，u其實是user的縮寫

6. 列出某個程序所打開的文件信息

lsof -c mysql

備註: -c 選項將會列出所有以mysql開頭的程序的文件，其實你也可以寫成lsof | grep mysql,但是第一種方法明顯比第二種方法要少打幾個字符了

7. 列出多個程序多打開的文件信息

lsof -c mysql -c apache

8. 列出某個用戶以及某個程序所打開的文件信息

lsof -u test -c mysql

9. 列出除了某個用戶外的被打開的文件信息

lsof   -u ^root

備註：^這個符號在用戶名之前，將會把是root用戶打開的進程不讓顯示

10. 通過某個進程號顯示該進行打開的文件

lsof -p 1

11. 列出多個進程號對應的文件信息

lsof -p 123,456,789

12. 列出除了某個進程號，其他進程號所打開的文件信息

lsof -p ^1

13 . 列出所有的網絡連接

lsof -i

14. 列出所有tcp 網絡連接信息

lsof  -i tcp

15. 列出所有udp網絡連接信息

lsof  -i udp

16. 列出誰在使用某個端口

lsof -i :3306

17. 列出誰在使用某個特定的udp端口

lsof -i udp:55

特定的tcp端口

lsof -i tcp:80

18. 列出某個用戶的所有活躍的網絡端口

lsof  -a -u test -i

19. 列出所有網絡文件系統

lsof -N

20.域名socket文件

lsof -u

21.某個用戶組所打開的文件信息

lsof -g 5555

22. 根據文件描述列出對應的文件信息,顯示使用fd爲4的進程

lsof -d 4

23. 根據文件描述範圍列出文件信息

lsof -d 2-3

 

場景一 有時可以通過lsof恢復刪除的文件

 

原理：

當進程打開了某個文件時，只要該進程保持打開該文件，即使將其刪除，它依然存在於磁盤中。這意味着，進程並不知道文件已經被刪除，它仍然可以向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外，這個文件是不可見的，因爲已經刪除了其相應的目錄索引節點。

在/proc 目錄下，其中包含了反映內核和進程樹的各種文件。/proc目錄掛載的是在內存中所映射的一塊區域，所以這些文件和目錄並不存在於磁盤中，因此當我們對這些文件進行讀取和寫入時，實際上是在從內存中獲取相關信息。大多數與 lsof 相關的信息都存儲於以進程的 PID 命名的目錄中，即 /proc/20996 中包含的是 PID 爲 20996的進程的信息。每個進程目錄中存在着各種文件，它們可以使得應用程序簡單地瞭解進程的內存空間、文件描述符列表、指向磁盤上的文件的符號鏈接和其他系統信息。lsof 程序使用該信息和其他關於內核內部狀態的信息來產生其輸出。

 

實踐：

當我們不小心誤刪了某個文件比如 access_nginx.log，只要這個時候系統中還有進程正在訪問該文件，那麼我們就可以通過lsof從/proc目錄下恢復該文件的內容。

恢復的方法如下：

首先使用lsof來查看當前是否有進程打開access_nginx.log文件，如下：

lsof |grep -E 'FD|access_nginx'
COMMAND     PID   TID    USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
nginx     20996          root   14w      REG              253,1    351016      49298 /data/wwwlogs/access_nginx.log (deleted)
nginx     29177           www   14w      REG              253,1    351016      49298 /data/wwwlogs/access_nginx.log (deleted)
nginx     29178           www   14w      REG              253,1    351016      49298 /data/wwwlogs/access_nginx.log (deleted)

 

PID 20996 打開文件的文件描述符爲14w。狀態爲deleted。因此我們可以在 /proc/20996/fd/14（fd下的每個以數字命名的文件表示進程對應的文件描述符）中查看相應的信息，如下：

head -n 10 /proc/20996/fd/14 
182.254.52.17 - - [28/May/2020:04:25:16 +0800] "GET http://154.8.236.121/?id%3D17 HTTP/1.1" 200 4743 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:57.0) Gecko/20100101 Firefox/57.0"
60.191.52.254 - - [28/May/2020:04:49:26 +0800] "HEAD http://112.124.42.80:63435/ HTTP/1.1" 200 0 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36"

 

cat /proc/20996/fd/14 > access_nginx.log

 

恢復完畢

 

場景二 too many open files報錯，查看哪些程序打開了很多文件

 

網上很多介紹用下面命令，其實是不準確得

lsof -n |awk '{print $2}'|sort|uniq -c |sort -nr|head -n 5

 

應該用下面得命令

查看哪個進程使用的fd最多：

find /proc -print | grep -P '/proc/\d+/fd/'| awk -F '/' '{print $3}' | uniq -c | sort -rn | head

 

查看fd使用總數：

cat /proc/sys/fs/file-nr

或者（結果多的時候運行需要一段時間）
find /proc -print | grep -P '/proc/\d+/fd/'| wc -l