linuxlsof命令详解

　　linuxlsof命令详解简介
　　lsof（listopenfiles）是一个列出当前系统打开文件的工具。在linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。所以如传输控制协议（TCP）和用户数据报协议（UDP）套接字等，系统在后台都为该应用程序分配了一个文件描述符，无论这个文件的本质如何，该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息，因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。输出信息含义
　　在终端下输入lsof即可显示系统打开的文件，因为lsof需要访问核心内存和各种文件，所以必须以root用户的身份运行它才能够充分地发挥其功能。
　　直接输入lsof部分输出为：COMMANDPIDUSERFDTYPEDEVICESIZEOFFNODENAMEinit1rootcwdDIR8，140962init1rootrtdDIR8，140962init1roottxtREG8，1150584654127sbininitudevd415root0uCHR1，30t06254devnulludevd415root1uCHR1，30t06254devnulludevd415root2uCHR1，30t06254devnulludevd690rootmemREG8，151736302589libx8664linuxgnulibnssfiles2。13。sosyslogd1246syslog2wREG8，110187245418varlogauth。logsyslogd1246syslog3wREG8，110118245342varlogsyslogdd1271root0rREG0，304026532038prockmsgdd1271root1wFIFO0，150t0409runklogdkmsgdd1271root2uCHR1，30t06254devnull
　　每行显示一个打开的文件，若不指定条件默认将显示所有进程打开的所有文件。
　　lsof输出各列信息的意义如下：
　　COMMAND：进程的名称PID：进程标识符
　　USER：进程所有者
　　FD：文件描述符，应用程序通过文件描述符识别该文件。如cwd、txt等TYPE：文件类型，如DIR、REG等
　　DEVICE：指定磁盘的名称
　　SIZE：文件的大小
　　NODE：索引节点（文件在磁盘上的标识）
　　NAME：打开文件的确切名称
　　FD列中的文件描述符cwd值表示应用程序的当前工作目录，这是该应用程序启动的目录，除非它本身对这个目录进行更改，txt类型的文件是程序代码，如应用程序二进制文件本身或共享库，如上列表中显示的sbininit程序。
　　其次数值表示应用程序的文件描述符，这是打开该文件时返回的一个整数。如上的最后一行文件devinitctl，其文件描述符为10。u表示该文件被打开并处于读取写入模式，而不是只读或只写（w）模式。同时还有大写的W表示该应用程序具有对整个文件的写锁。该文件描述符用于确保每次只能打开一个应用程序实例。初始打开每个应用程序时，都具有三个文件描述符，从0到2，分别表示标准输入、输出和错误流。所以大多数应用程序所打开的文件的FD都是从3开始。
　　与FD列相比，Type列则比较直观。文件和目录分别称为REG和DIR。而CHR和BLK，分别表示字符和块设备；或者UNIX、FIFO和IPv4，分别表示UNIX域套接字、先进先出（FIFO）队列和网际协议（IP）套接字。常用参数
　　lsof语法格式是：lsofoptionsfilenamelsofabc。txt显示开启文件abc。txt的进程lsofcabc显示abc进程现在打开的文件lsofcp1234列出进程号为1234的进程所打开的文件lsofggid显示归属gid的进程情况lsofdusrlocal显示目录下被进程开启的文件lsofDusrlocal同上，但是会搜索目录下的目录，时间较长lsofd4显示使用fd为4的进程lsofi用以显示符合条件的进程情况lsofi〔46〕〔protocol〕〔hostnamehostaddr〕〔：serviceport〕46IPv4orIPv6protocolTCPorUDPhostnameInternethostnamehostaddrIPv4地址serviceetcservice中的servicename（可以不止一个）port端口号（可以不止一个）lsof使用实例
　　查找谁在使用文件系统
　　在卸载文件系统时，如果该文件系统中有任何打开的文件，操作通常将会失败。那么通过lsof可以找出那些进程在使用当前要卸载的文件系统，如下：lsofGTES11COMMANDPIDUSERFDTYPEDEVICESIZENODENAMEbash4208rootcwdDIR3，140962GTES11vim4230rootcwdDIR3，140962GTES11在这个示例中，用户root正在其GTES11目录中进行一些操作。一个bash是实例正在运行，并且它当前的目录为GTES11，另一个则显示的是vim正在编辑GTES11下的文件。要成功地卸载GTES11，应该在通知用户以确保情况正常之后，中止这些进程。这个示例说明了应用程序的当前工作目录非常重要，因为它仍保持着文件资源，并且可以防止文件系统被卸载。这就是为什么大部分守护进程（后台进程）将它们的目录更改为根目录、或服务特定的目录（如sendmail示例中的varspoolmqueue）的原因，以避免该守护进程阻止卸载不相关的文件系统。
　　恢复删除的文件
　　当Linux计算机受到入侵时，常见的情况是日志文件被删除，以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件，比如在清理旧日志时，意外地删除了数据库的活动事务日志。有时可以通过lsof来恢复这些文件。当进程打开了某个文件时，只要该进程保持打开该文件，即使将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录索引节点。在proc目录下，其中包含了反映内核和进程树的各种文件。proc目录挂载的是在内存中所映射的一块区域，所以这些文件和目录并不存在于磁盘中，因此当我们对这些文件进行读取和写入时，实际上是在从内存中获取相关信息。大多数与lsof相关的信息都存储于以进程的PID命名的目录中，即proc1234中包含的是PID为1234的进程的信息。每个进程目录中存在着各种文件，它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof程序使用该信息和其他关于内核内部状态的信息来产生其输出。所以lsof可以显示进程的文件描述符和相关的文件名等信息。也就是我们通过访问进程的文件描述符可以找到该文件的相关信息。当系统中的某个文件被意外地删除了，只要这个时候系统中还有进程正在访问该文件，那么我们就可以通过lsof从proc目录下恢复该文件的内容。假如由于误操作将varlogmessages文件删除掉了，那么这时要将varlogmessages文件恢复的方法如下：首先使用lsof来查看当前是否有进程打开varlogmessages文件，如下：lsofgrepvarlogmessagessyslogd1283root2wREG3，353810171773647varlogmessages（deleted）从上面的信息可以看到PID1283（syslogd）打开文件的文件描述符为2。同时还可以看到varlogmessages已经标记被删除了。因此我们可以在proc1283fd2（fd下的每个以数字命名的文件表示进程对应的文件描述符）中查看相应的信息，如下：headn10proc1283fd2Aug413：50：15holmes86syslogd1。4。1：restart。Aug413：50：15holmes86kernel：klogd1。4。1，logsourceprockmsgstarted。Aug413：50：15holmes86kernel：Linuxversion2。6。22。18（rooteverestbuilder。linuxren。org）（gccversion4。2。0）1SMPWedJul1811：18：32EDT2007Aug413：50：15holmes86kernel：BIOSprovidedphysicalRAMmap：Aug413：50：15holmes86kernel：BIOSe820：0000000000000000000000000009f000（usable）Aug413：50：15holmes86kernel：BIOSe820：000000000009f00000000000000a0000（reserved）Aug413：50：15holmes86kernel：BIOSe820：0000000000100000000000001f7d3800（usable）Aug413：50：15holmes86kernel：BIOSe820：000000001f7d38000000000020000000（reserved）Aug413：50：15holmes86kernel：BIOSe820：00000000e000000000000000f0007000（reserved）Aug413：50：15holmes86kernel：BIOSe820：00000000f000800000000000f000c000（reserved）从上面的信息可以看出，查看proc8663fd15就可以得到所要恢复的数据。如果可以通过文件描述符查看相应的数据，那么就可以使用IO重定向将其复制到文件中，如：catproc1283fd2varlogmessages对于许多应用程序，尤其是日志文件和数据库，这种恢复删除文件的方法非常有用。
　　可以列出被进程所打开的文件的信息。被打开的文件可以是
　　1。普通的文件，2。目录3。网络文件系统的文件，4。字符设备文件5。（函数）共享库6。管道，命名管道7。符号链接
　　8。底层的socket字流，网络socket，unix域名socket
　　9。在linux里面，大部分的东西都是被当做文件的。。还有其他很多
　　怎样使用lsof
　　这里主要用案例的形式来介绍lsof命令的使用
　　1。列出所有打开的文件：
　　lsof
　　备注：如果不加任何参数，就会打开所有被打开的文件，建议加上一下参数来具体定位
　　2。查看谁正在使用某个文件
　　lsoffilepathfile
　　3。递归查看某个目录的文件信息
　　lsofDfilepathfilepath2
　　备注：使用了D，对应目录下的所有子目录和文件都会被列出
　　4。比使用D选项，遍历查看某个目录的所有文件信息的方法
　　lsofgrep‘filepathfilepath2’
　　5。列出某个用户打开的文件信息
　　lsofuusername
　　备注：u选项，u其实是user的缩写
　　6。列出某个程序所打开的文件信息
　　lsofcmysql
　　备注：c选项将会列出所有以mysql开头的程序的文件，其实你也可以写成lsofgrepmysql，但是第一种方法明显比第二种方法要少打几个字符了
　　7。列出多个程序多打开的文件信息
　　lsofcmysqlcapache
　　8。列出某个用户以及某个程序所打开的文件信息
　　lsofutestcmysql
　　9。列出除了某个用户外的被打开的文件信息
　　lsofuroot
　　备注：这个符号在用户名之前，将会把是root用户打开的进程不让显示
　　10。通过某个进程号显示该进行打开的文件
　　lsofp1
　　11。列出多个进程号对应的文件信息
　　lsofp123，456，789
　　12。列出除了某个进程号，其他进程号所打开的文件信息
　　lsofp1
　　13。列出所有的网络连接
　　lsofi
　　14。列出所有tcp网络连接信息
　　lsofitcp
　　15。列出所有udp网络连接信息
　　lsofiudp
　　16。列出谁在使用某个端口
　　lsofi：3306
　　17。列出谁在使用某个特定的udp端口
　　lsofiudp：55
　　特定的tcp端口
　　lsofitcp：80
　　18。列出某个用户的所有活跃的网络端口
　　lsofautesti
　　19。列出所有网络文件系统
　　lsofN
　　20。域名socket文件
　　lsofu
　　21。某个用户组所打开的文件信息
　　lsofg5555
　　22。根据文件描述列出对应的文件信息
　　lsofddescription（like2）
　　23。根据文件描述范围列出文件信息
　　lsofd23
　　实用命令lsofwhichhttpd那个进程在使用apache的可执行文件lsofetcpasswd那个进程在占用etcpasswdlsofdevhda6那个进程在占用hda6lsofdevcdrom那个进程在占用光驱lsofcsendmail查看sendmail进程的文件使用情况lsofccourieruzahn显示出那些文件被以courier打头的进程打开，但是并不属于用户zahnlsofp30297显示那些文件被pid为30297的进程打开lsofDtmp显示所有在tmp文件夹中打开的instance和文件的进程。但是symbol文件并不在列lsofu1000查看uid是100的用户的进程的文件使用情况lsofutony查看用户tony的进程的文件使用情况lsofutony查看不是用户tony的进程的文件使用情况（是取反的意思）lsofi显示所有打开的端口lsofi：80显示所有打开80端口的进程lsofiU显示所有打开的端口和UNIXdomain文件lsofiUDP〔url〕www。akadia。com：123显示那些进程打开了到www。akadia。com的UDP的123（ntp）端口的链接lsofitcpohaha。ks。edu。tw：ftpr不断查看目前ftp连接的情况（r，lsof会永远不断的执行，直到收到中断信号，r，lsof会一直执行，直到没有档案被显示，缺省是15s刷新）lsofitcpohaha。ks。edu。tw：ftpnlsofn不将IP转换为hostname，缺省是不加上n参数