lsof 简介
lsof命令用于查看你进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP)。找回/恢复删除的文件。是十分方便的系统监视工具,因为lsof命令需要访问核心内存和各种文件,所以需要root用户执行。
lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息,因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。
被打开的文件可以是:
1、普通的文件;
2、目录
3、网络文件系统的文件
4、字符设备文件
5、(函数)共享库
6、管道,命名管道
7、符号链接
8、底层的socket字流,网络socket,unix域名socket
9、还有一些其他的文件我这里就不一一列举了,在linux操作系统中,一切皆文件。
1、安装lsof
[root@Ansible ~]# yum -y install lsof
2、查看losf命令帮助信息
[root@Ansible ~]# lsof -h
3、lsof 语法
lsof (选项)
选项
-a:列出打开文件存在的进程;
-c<进程名>:列出指定进程所打开的文件;
-g:列出GID号进程详情;
-d<文件号>:列出占用该文件号的进程;
d<目录>:列出目录下被打开的文件;
D<目录>:递归列出目录下被打开的文件;
-n<目录>:列出使用NFS的文件;
-i<条件>:列出符合条件的进程。(4、6、协议、:端口、 @ip )
-p<进程号>:列出指定进程号所打开的文件;
-u:列出UID号进程详情;
-h:显示帮助信息;
-v:显示版本信息。
4、实例
[root@Ansible ~]# lsof
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
init 1 root cwd DIR 8,2 4096 2 /
init 1 root rtd DIR 8,2 4096 2 /
init 1 root txt REG 8,2 150352 8257566 /sbin/init
init 1 root 0u CHR 1,3 0t0 3845 /dev/null
init 1 root 1u CHR 1,3 0t0 3845 /dev/null
init 1 root 2u CHR 1,3 0t0 3845 /dev/null
init 1 root 3r FIFO 0,8 0t0 6923 pipe
init 1 root 4w FIFO 0,8 0t0 6923 pipe
init 1 root 5r DIR 0,10 0 1 inotify
init 1 root 6r DIR 0,10 0 1 inotify
kthreadd 2 root cwd DIR 8,2 4096 2 /
kthreadd 2 root rtd DIR 8,2 4096 2 /
migration 3 root cwd DIR 8,2 4096 2 /
migration 3 root rtd DIR 8,2 4096 2 /
.....
省略1万个字
lsof输出各列信息的意义如下:
- COMMAND:进程的名称
- PID:进程标识符
- PPID:父进程标识符(需要指定-R参数)
- USER:进程所有者
- PGID:进程所属组
- FD:文件描述符,应用程序通过文件描述符识别该文件。
文件描述符列表:
1)cwd:表示current work dirctory,即:应用程序的当前工作目录,这是该应用程序启动的目录,除非它本身对这个目录进行更改
2)txt:该类型的文件是程序代码,如应用程序二进制文件本身或共享库,如上列表中显示的/sbin/init程序
3)lnn:library references (AIX);
4)er:FD information error (see NAME column);
5)jld:jail directory (FreeBSD);
6)ltx:shared library text (code and data);
7)mxx :hex memory-mapped type number xx.
8)m86:DOS Merge mapped file;
9)mem:memory-mapped file;
10)mmap:memory-mapped device;
11)pd:parent directory;
12)rtd:root directory;
13)tr:kernel trace file (OpenBSD);
14)v86 VP/ix mapped file;
15)0:表示标准输出
16)1:表示标准输入
17)2:表示标准错误
一般在标准输出、标准错误、标准输入后还跟着文件状态模式:
1)u:表示该文件被打开并处于读取/写入模式。
2)r:表示该文件被打开并处于只读模式。
3)w:表示该文件被打开并处于。
4)空格:表示该文件的状态模式为unknow,且没有锁定。
5)-:表示该文件的状态模式为unknow,且被锁定。
同时在文件状态模式后面,还跟着相关的锁:
1)N:for a Solaris NFS lock of unknown type;
2)r:for read lock on part of the file;
3)R:for a read lock on the entire file;
4)w:for a write lock on part of the file;(文件的部分写锁)
5)W:for a write lock on the entire file;(整个文件的写锁)
6)u:for a read and write lock of any length;
7)U:for a lock of unknown type;
8)x:for an SCO OpenServer Xenix lock on part of the file;
9)X:for an SCO OpenServer Xenix lock on the entire file;
10)space:if there is no lock.
文件类型:
1)DIR:表示目录。
2)CHR:表示字符类型。
3)BLK:块设备类型。
4)UNIX:UNIX 域套接字。
5)FIFO:先进先出 (FIFO) 队列。
6)IPv4:网际协议 (IP) 套接字。
7)DEVICE:指定磁盘的名称
8)SIZE:文件的大小
9)NODE:索引节点(文件在磁盘上的标识)
10)NAME:打开文件的确切名称
案例
1、统计操作系统所有打开的文件
[root@Ansible ~]# lsof |wc -l
239432
2、递归查看某个目录正在使用的文件信息
[root@Ansible ~]# lsof D /tmp
3、查看某个文件正在被谁使用
[root@Ansible ~]# lsof /usr/local/jdk1.8.0_181/bin/java
4、列出某个程序所打开的文件信息
# 统计java进程打开的文件数
[root@Ansible ~]# lsof -c java |wc -l
3322
5、列出多个程序多打开的文件信息
[root@Ansible ~]# lsof -c java -c zabbix_agentd |wc -l
3424
6、列出某个用户通过某个命令打开的文件数
[root@Ansible ~]# lsof -u root -c java |wc -l
8355
7、列出所有的网络连接
[root@Ansible ~]# lsof -i
8、列出所有tcp 网络连接信息
[root@Ansible ~]# lsof -i tcp
9、列出所有udp网络连接信息
[root@Ansible ~]# lsof -i udp
10、列出谁在使用某个端口
[root@Ansible ~]# lsof -i :80
11、列出TCP已经建立链接的端口
[root@Ansible ~]# lsof -i -s TCP:ESTABLISHED
12、列出所有监听状态的端口
[root@Ansible ~]# lsof -i -s TCP:LISTEN
13、统计指定PID打开的文件数
[root@Ansible ~]# lsof -i |grep 15543 |grep -wc ESTABLISHED
14、统计指定端口打开的文件数
[root@Ansible ~]# lsof -i :9000 |grep -wc ESTABLISHED
[root@Ansible ~]# netstat -lan |grep 9000 |grep -wc ESTABLISHED