lsof (list open files)是一个列出当前系统打开文件的工具。拥有查看你进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP),找回/恢复删除的文件等功能。
在 Linux 环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息,因此通过 lsof 工具能够查看这个列表对系统监测以及排错将是很有帮助的。
因为 lsof 命令需要访问核心内存和各种文件,所以需要 root 用户执行。
命令格式
命令参数
1
2
3
4
5
6
7
8
9
10
11
12
|
-a 列出打开文件存在的进程
-c<进程名> 列出指定进程所打开的文件
-g 列出 GID 号进程详情
-d<文件号> 列出占用该文件号的进程
+d<目录> 列出目录下被打开的文件
+D<目录> 递归列出目录下被打开的文件
-n<目录> 列出使用 NFS 的文件
-i<条件> 列出符合条件的进程(4、6、协议、:端口、@ip)
-p<进程号> 列出指定进程号所打开的文件
-u 列出 UID 号进程详情
-h 显示帮助信息
-v 显示版本信息
|
输出项含义
应用实例
无任何参数
命令:
结果:
1
2
3
4
5
6
7
8
9
10
|
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
init 1 root cwd DIR 252,1 4096 2 /
init 1 root rtd DIR 252,1 4096 2 /
init 1 root txt REG 252,1 150352 131105 /sbin/init
init 1 root mem REG 252,1 66432 655392 /lib64/libnss_files-2.12.so
init 1 root mem REG 252,1 1924768 655376 /lib64/libc-2.12.so
init 1 root DEL REG 252,1 655363 /lib64/libgcc_s-4.4.7-20120601.so.1;5af8ee7f
init 1 root mem REG 252,1 44472 655404 /lib64/librt-2.12.so
init 1 root mem REG 252,1 143280 655400 /lib64/libpthread-2.12.so
init 1 root mem REG 252,1 265728 655457 /lib64/libdbus-1.so.3.4.0
|
查看使用某个文件的相关进程
命令:
结果:
1
2
3
4
|
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
nginx 1557 root txt REG 252,1 6302521 1324371 /usr/local/nginx/sbin/nginx
nginx 32269 upfor txt REG 252,1 6302521 1324371 /usr/local/nginx/sbin/nginx
nginx 32270 upfor txt REG 252,1 6302521 1324371 /usr/local/nginx/sbin/nginx
|
递归列出目录下被打开的文件
命令:
结果:
1
2
3
4
5
6
7
|
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
gogs 813 git cwd DIR 252,1 4096 786619 /opt/gogs
gogs 813 git txt REG 252,1 33034400 788325 /opt/gogs/gogs
gogs 813 git 1w REG 252,1 13908 788732 /opt/gogs/log/gogs.log
gogs 813 git 2w REG 252,1 13908 788732 /opt/gogs/log/gogs.log
gogs 813 git 3w REG 252,1 13908 788732 /opt/gogs/log/gogs.log
gogs 813 git 5w REG 252,1 4173 786609 /opt/gogs/log/xorm.log
|
查看某个进程号打开的所有文件
命令:
结果:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
bash 9876 upfor cwd DIR 252,1 4096 262151 /home/upfor
bash 9876 upfor rtd DIR 252,1 4096 2 /
bash 9876 upfor txt REG 252,1 906568 1180898 /bin/bash
bash 9876 upfor mem REG 252,1 66432 655392 /lib64/libnss_files-2.12.so
bash 9876 upfor mem REG 252,1 99174448 1053279 /usr/lib/locale/locale-archive
bash 9876 upfor mem REG 252,1 1924768 655376 /lib64/libc-2.12.so
bash 9876 upfor mem REG 252,1 20024 655382 /lib64/libdl-2.12.so
bash 9876 upfor mem REG 252,1 132408 655419 /lib64/libtinfo.so.5.7
bash 9876 upfor mem REG 252,1 159312 655765 /lib64/ld-2.12.so
bash 9876 upfor mem REG 252,1 26060 735 /usr/lib64/gconv/gconv-modules.cache
bash 9876 upfor 0u CHR 136,0 0t0 3 /dev/pts/0
bash 9876 upfor 1u CHR 136,0 0t0 3 /dev/pts/0
bash 9876 upfor 2u CHR 136,0 0t0 3 /dev/pts/0
bash 9876 upfor 255u CHR 136,0 0t0 3 /dev/pts/0
|
查看某个进程名打开的所有文件
命令:
结果:
1
2
3
4
5
6
7
8
9
10
|
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
gogs 813 git cwd DIR 252,1 4096 786619 /opt/gogs
gogs 813 git rtd DIR 252,1 4096 2 /
gogs 813 git txt REG 252,1 33034400 788325 /opt/gogs/gogs
gogs 813 git mem REG 252,1 10312 131077 /lib64/libfreebl3.so
gogs 813 git mem REG 252,1 40872 131091 /lib64/libcrypt-2.12.so
gogs 813 git mem REG 252,1 145864 131141 /lib64/libaudit.so.1.0.0
gogs 813 git mem REG 252,1 1924768 131087 /lib64/libc-2.12.so
gogs 813 git mem REG 252,1 55848 131194 /lib64/libpam.so.0.82.2
gogs 813 git mem REG 252,1 143280 131111 /lib64/libpthread-2.12.so
|
查看某个用户打开的所有文件
命令:
结果:
1
2
3
4
5
6
7
8
9
10
|
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 9875 upfor cwd DIR 252,1 4096 2 /
sshd 9875 upfor rtd DIR 252,1 4096 2 /
sshd 9875 upfor txt REG 252,1 575192 1053029 /usr/sbin/sshd
sshd 9875 upfor mem REG 252,1 18600 655508 /lib64/security/pam_limits.so
sshd 9875 upfor mem REG 252,1 10224 655506 /lib64/security/pam_keyinit.so
sshd 9875 upfor mem REG 252,1 43664 655515 /lib64/security/pam_namespace.so
sshd 9875 upfor mem REG 252,1 10240 655511 /lib64/security/pam_loginuid.so
sshd 9875 upfor mem REG 252,1 18672 655523 /lib64/security/pam_selinux.so
sshd 9875 upfor mem REG 252,1 38712 1050920 /usr/lib64/libcrack.so.2.8.1
|
列出除了某个用户外的被打开的文件信息
^ 符号在用户名之前,将打开除了指定用户的所有
命令:
1
|
lsof -u ^root,^upfor /opt/gogs/gogs
|
结果:
1
2
|
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
gogs 813 git txt REG 252,1 33034400 788325 /opt/gogs/gogs
|
列出多个进程号对应的文件信息
命令:
结果:
1
2
3
4
5
6
7
|
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
node 9183 upfor cwd DIR 252,1 4096 793672 /opt/wwwroot/adminmongo
node 9183 upfor rtd DIR 252,1 4096 2 /
node 9183 upfor txt REG 252,1 35166327 1311267 /home/upfor/.nvm/versions/node/v9.7.1/bin/node
nginx 26655 root cwd DIR 252,1 4096 786526 /opt/soft/lnmp1.3-full/src
nginx 26655 root rtd DIR 252,1 4096 2 /
nginx 26655 root txt REG 252,1 6302561 2104091 /usr/local/nginx/sbin/nginx
|
列出除了某个进程号以外的所有进程打开的文件信息
列出所有的网络连接信息
命令:
结果:
1
2
3
4
5
6
7
8
9
10
11
12
|
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
gogs 813 git 6u IPv4 169848266 0t0 TCP localhost:44618->localhost:wg-netforce (ESTABLISHED)
gogs 813 git 7u IPv4 169848435 0t0 TCP *:videobeans (LISTEN)
gogs 813 git 8u IPv4 169848437 0t0 TCP *:hbci (LISTEN)
gogs 813 git 9u IPv4 169855669 0t0 TCP localhost:44810->localhost:wg-netforce (ESTABLISHED)
dhclient 1024 root 5u IPv4 8209 0t0 UDP *:bootpc
sshd 4867 root 3r IPv4 169915790 0t0 TCP 172.17.237.72:3121->106.38.109.107:63404 (ESTABLISHED)
sshd 4869 upfor 3u IPv4 169915790 0t0 TCP 172.17.237.72:3121->106.38.109.107:63404 (ESTABLISHED)
mongod 5528 mongod 11u IPv4 148220028 0t0 TCP *:27017 (LISTEN)
node 9183 upfor 12u IPv4 86839478 0t0 TCP *:csvr-proxy (LISTEN)
nginx 9528 upfor 3u IPv4 169925193 0t0 TCP 172.17.237.72:http->162.158.107.20:19705 (ESTABLISHED)
nginx 9528 upfor 6u IPv4 252198 0t0 TCP *:http (LISTEN)
|
列出所有 tcp 网络连接信息
命令:
结果:
1
2
3
4
5
6
7
8
9
10
|
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
gogs 813 git 6u IPv4 169848266 0t0 TCP localhost:44618->localhost:wg-netforce (ESTABLISHED)
gogs 813 git 7u IPv4 169848435 0t0 TCP *:videobeans (LISTEN)
gogs 813 git 8u IPv4 169848437 0t0 TCP *:hbci (LISTEN)
gogs 813 git 9u IPv4 169855669 0t0 TCP localhost:44810->localhost:wg-netforce (ESTABLISHED)
sshd 4867 root 3r IPv4 169915790 0t0 TCP 172.17.237.72:3121->106.38.109.107:63404 (ESTABLISHED)
sshd 4869 upfor 3u IPv4 169915790 0t0 TCP 172.17.237.72:3121->106.38.109.107:63404 (ESTABLISHED)
mongod 5528 mongod 11u IPv4 148220028 0t0 TCP *:27017 (LISTEN)
node 9183 upfor 12u IPv4 86839478 0t0 TCP *:csvr-proxy (LISTEN)
nginx 9528 upfor 3u IPv4 169928311 0t0 TCP 172.17.237.72:http->47.92.144.188:59956 (ESTABLISHED)
|
列出所有 udp 网络连接信息
列出谁在使用某个端口
列出谁在使用某个特定的 tcp 端口
列出某个用户的所有活跃的网络端口
命令:
结果:
1
2
3
4
5
6
|
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
node 9183 upfor 12u IPv4 86839478 0t0 TCP *:csvr-proxy (LISTEN)
nginx 9528 upfor 3u IPv4 169931455 0t0 TCP 172.17.237.72:http->108.162.245.155:14185 (ESTABLISHED)
nginx 9528 upfor 6u IPv4 252198 0t0 TCP *:http (LISTEN)
nginx 9528 upfor 7u IPv4 169930700 0t0 TCP 172.17.237.72:http->hn.kd.ny.adsl:19235 (ESTABLISHED)
nginx 9528 upfor 16u IPv4 57891175 0t0 TCP *:https (LISTEN)
|
列出所有网络文件系统
某个用户组所打开的文件信息
参考资料