lsof(list open files)是一個列出當前系統打開文件的工具。在linux環境下,任何事物都以文件的形式存在,通過文件不僅僅可以訪問常規數據,還可以訪問網絡連接和硬件。
可以被打開的文件可以是:1.普通的文件,2.目錄 3.網絡文件系統的文件,4.字符設備文件 5.(函數)共享庫 6.管道,命名管道 7.符號鏈接 8.底層的socket字流,網絡socket,unix域名........還有其他很多.
在終端下輸入lsof命令即可顯示系統打開的文件,因爲 lsof 需要訪問核心內存和各種文件,所以必須以 root 用戶的身份運行它才能夠充分地發揮其功能。
一、查看某端口被什麼進程佔用
一次在客戶現場,幫客戶調TOMCAT,啓動TOMCAT的時候報8080端口被佔用
查看某端口被某個進程佔用
#lsof -i :8080
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
httpd 13017 root 490u IPv4 23881972 TCP *:8080 (LISTEN)
從這裏看出是被HTTPD進程佔用,之前客戶說是IBM的IHS軟件已停止,看來並沒有真正停止導致端口被佔用
#kill -9 13017
殺掉這個進程後,再啓TOMCAT後正常了
二、查看所屬用戶進程所打開的某種類型的文件
比如查看root用戶進程所打開的文件類型爲txt的文件
# lsof -a -u root -d txt
auditd 2639 root txt REG 3,2 102136 44536 /sbin/auditd
owcimomd 2643 root txt REG 3,2 24560 90676 /usr/sbin/owcimomd
irqbalanc 2737 root txt REG 3,2 25880 62557 /usr/sbin/irqbalance
nscd 2771 root txt REG 3,2 129908 44802 /usr/sbin/nscd
vsftpd 2809 root txt REG 3,2 129792 132934 /usr/sbin/vsftpd
xinetd 2812 root txt REG 3,2 165952 60679 /usr/sbin/xinetd
smpppd 2825 root txt REG 3,2 193752 99524 /usr/sbin/smpppd
sshd 2827 root txt REG 3,2 376768 98762 /usr/sbin/sshd
zmd 2847 root txt REG 3,2 1895856 86524 /usr/bin/mono
gdm 2893 root txt REG 3,2 268424 126353 /opt/gnome/sbin/gdm
三、查找誰在使用某個文件系統
在卸載文件系統時,如果該文件系統中有任何打開的文件,操作通常將會失敗。那麼通過lsof可以找出那些進程在使用當前要卸載的文件系統。
# lsof /testdata/
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
bash 4208 root cwd DIR 3,1 4096 2 /testdata/
vim 4230 root cwd DIR 3,1 4096 2 /testdata/
在這個示例中,用戶root正在其/testdata目錄中進行一些操作。一個 bash是實例正在運行,並且它當前的目錄爲/testdata,另一個則顯示的是vim正在編輯/testdata下的文件。如果要成功地卸載/testdata,應該在通知用戶以確保情況正常之後,中止這些進程。 這個示例說明了應用程序的當前工作目錄非常重要,因爲它仍保持着文件資源,並且可以防止文件系統被卸載。這就是爲什麼大部分守護進程(後臺進程)將它們的目錄更改爲根目錄、或服務特定的目錄(如 sendmail 示例中的 /var/spool/mqueue)的原因,以避免該守護進程阻止卸載不相關的文件系統。
四、列出相關信息
1、列出某個用戶打開的文件信息
lsof -u username
備註: -u 選項,u其實是user的縮寫
如 # lsof -u db2inst1
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
db2sysc 4390 db2inst1 DEL REG 0,8 294917 /SYSV33984761
db2sysc 4390 db2inst1 DEL REG 0,8 327686 /SYSV00000000
db2sysc 4390 db2inst1 mem REG 3,2 132847 19074 /lib64/ld-2.4.so
db2sysc 4390 db2inst1 mem REG 3,2 217016 158186 /var/run/nscd/passwd
db2sysc 4390 db2inst1 mem REG 3,2 123722 19107 /lib64/libpthread-2.4.so
db2sysc 4390 db2inst1 mem REG 3,2 102866497 137967 /opt/ibm/db2/V9.7/lib64/libdb2e.so.1
db2sysc 4390 db2inst1 mem REG 3,2 7889612 135807 /opt/ibm/db2/V9.7/lib64/libdb2osse.so.1
db2sysc 4390 db2inst1 mem REG 3,2 399985 19089 /lib64/libm-2.4.so
2. 列出某個程序所打開的文件信息
#lsof -c mysql
備註: -c 選項將會列出所有以mysql開頭的程序的文件,其實你也可以寫成 lsof | grep mysql, 但是第一種方法明顯比第二種方法要少打幾個字符了
3. 列出多個程序多打開的文件信息
#lsof -c mysql -c apache
4. 列出某個用戶以及某個程序所打開的文件信息
#lsof -u test -c mysql
5. 列出除了某個用戶外的被打開的文件信息
#lsof -u ^root
備註:^這個符號在用戶名之前,將會把是root用戶打開的進程不讓顯示
6. 通過某個進程號顯示該進程打開的文件
#lsof -p 19552
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
rpc.mount 19552 root cwd DIR 3,2 256 91560 /var/lib/nfs
rpc.mount 19552 root rtd DIR 3,2 584 2 /
rpc.mount 19552 root txt REG 3,2 77304 98667 /usr/sbin/rpc.mountd
rpc.mount 19552 root mem REG 3,2 132847 19074 /lib64/ld-2.4.so
rpc.mount 19552 root DEL REG 3,2 132550 /var/run/nscd/db5BU1wW
7. 列出多個進程號對應的文件信息
#lsof -p 123,456,789
8. 列出除了某個進程號,其他進程號所打開的文件信息
#lsof -p ^1523
9 . 列出所有的網絡連接
#lsof -i
10. 列出所有tcp 網絡連接信息
#lsof -i tcp
11. 列出所有udp網絡連接信息
#lsof -i udp
12. 列出誰在使用某個端口
#lsof -i :3306
13. 列出誰在使用某個特定的udp、tcp端口
#lsof -i udp:55
特定的tcp端口
#lsof -i tcp:80
14. 列出某個用戶的所有活躍的網絡端口
#lsof -a -u test -i
15. 查看誰正在使用某個文件
#lsof /filepath/file
16.遞歸查看某個目錄的文件信息
#lsof +D /filepath/filepath2/
備註: 使用了+D,對應目錄下的所有子目錄和文件都會被列出
五、恢復刪除的文件
當Linux計算機受到***時,常見的情況是日誌文件被刪除,以掩蓋***者的蹤跡。管理錯誤也可能導致意外刪除重要的文件,比如在清理舊日誌時,意外地刪除了數據庫的活動事務日誌。有時可以通過lsof來恢復這些文件。
當進程打開了某個文件時,只要該進程保持打開該文件,即使將其刪除,它依然存在於磁盤中。這意味着,進程並不知道文件已經被刪除,它仍然可以向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外,這個文件是不可見的,因爲已經刪除了其相應的目錄索引節點。
在/proc 目錄下,其中包含了反映內核和進程樹的各種文件。/proc目錄掛載的是在內存中所映射的一塊區域,所以這些文件和目錄並不存在於磁盤中,因此當我們對這些文件進行讀取和寫入時,實際上是在從內存中獲取相關信息。大多數與 lsof 相關的信息都存儲於以進程的 PID 命名的目錄中,即 /proc/1234 中包含的是 PID 爲 1234 的進程的信息。每個進程目錄中存在着各種文件,它們可以使得應用程序簡單地瞭解進程的內存空間、文件描述符列表、指向磁盤上的文件的符號鏈接和其他系統信息。lsof 程序使用該信息和其他關於內核內部狀態的信息來產生其輸出。所以lsof 可以顯示進程的文件描述符和相關的文件名等信息。也就是我們通過訪問進程的文件描述符可以找到該文件的相關信息。
當系統中的某個文件被意外地刪除了,只要這個時候系統中還有進程正在訪問該文件,那麼我們就可以通過lsof從/proc目錄下恢復該文件的內容。 假如由於誤操作將/var/log/messages文件刪除掉了,那麼這時要將/var/log/messages文件恢復的方法如下:
首先使用lsof來查看當前是否有進程打開/var/logmessages文件,如下:
# lsof |grep /var/log/messages
syslogd 1283 root 2w REG 3,3 5381017 1773647 /var/log/messages (deleted)
從上面的信息可以看到 PID 1283(syslogd)打開文件的文件描述符爲 2。同時還可以看到/var/log/messages已經標記被刪除了。因此我們可以在 /proc/1283/fd/2 (fd下的每個以數字命名的文件表示進程對應的文件描述符)中查看相應的信息,如下:
# head -n 10 /proc/1283/fd/2
Aug 4 13:50:15 holmes86 syslogd 1.4.1: restart.
Aug 4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started.
Aug 4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 ([email protected]) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007
Aug 4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map:
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000000000 - 000000000009f000 (usable)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000001f7d3800 - 0000000020000000 (reserved)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000e0000000 - 00000000f0007000 (reserved)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000f0008000 - 00000000f000c000 (reserved)
從上面的信息可以看出,查看 /proc/8663/fd/15 就可以得到所要恢復的數據。如果可以通過文件描述符查看相應的數據,那麼就可以使用 I/O 重定向將其複製到文件中,如:
#cat /proc/1283/fd/2 > /var/log/messages
對於許多應用程序,尤其是日誌文件和數據庫,這種恢復刪除文件的方法非常有用。