linux使用lsof命令查看文件打开情况

前言

我们都知道,在linux下,“一切皆文件”,因此有时候查看文件的打开情况,就显得格外重要,而这里有一个命令能够在这件事上很好的帮助我们-它就是lsof。

linux下有哪些文件

在介绍lsof命令之前,先简单说一下,linux主要有哪些文件:

  • 普通文件
  • 目录
  • 符号链接
  • 面向块的设备文件
  • 面向字符的设备文件
  • 管道和命名管道
  • 套接字

以上各类文件类型不多做详细介绍。

lsof命令实用用法介绍

lsof,是list open files的简称。它的参数很多,但是我们这里只介绍一些实用的用法(注意有些情况需要root权限执行)。

查看当前打开的所有文件

一般来说,直接输入lsof命令产生的结果实在是太多,可能很难找到我们需要的信息。不过借此说明一下一条记录都有哪些信息。

$ lsof(这里选取一条记录显示)
COMMAND PID      USER FD    TYPE  DEVICE SIZE/OFF NODE NAME
vi  27940     hyb 7u  REG    8,15  16384  137573 /home/hyb/.1.txt.swp

lsof显示的结果,从左往右分别代表:打开该文件的程序名,进程id,用户,文件描述符,文件类型,设备,大小,iNode号,文件名。

我们暂且先关注我们知道的列。这条记录,表明进程id为27940的vi程序,打开了文件描述值为7,且处于读写状态的,在/home/hyb目录下的普通文件(REG regular file).1.txt.swap,当前大小16384字节。

列出被删除但占用空间的文件

在生产环境中,我们可能会使用df命令看到磁盘空间占满了,然而实际上又很难找到占满空间的文件,这常常是由于某个大文件被删除了,但是它却被某个进程打开,导致通过普通的方式找不到它的踪迹,最常见的就是日志文件。我们可以通过lsof来发现这样的文件:

$ lsof |grep deleted
Xorg  1131 root 125u  REG    0,5  4  61026 /memfd:xshmfence (deleted)
Xorg  1131 root 126u  REG    0,5  4  62913 /memfd:xshmfence (deleted)
Xorg  1131 root 129u  REG    0,5  4  74609 /memfd:xshmfence (deleted)

可以看到这些被删除的但仍然被打开文件,最后查找出来的时候,会被标记deleted。这个时候就可以根据实际情况分析,到底哪些文件可能过大但是却被删除了,导致空间仍然占满。

恢复打开但被删除的文件

前面我们可以找到被删除但是仍然被打开的文件,实际上文件并没有真正的消失,如果是意外被删除的,我们还有手段恢复它。以/var/log/syslog文件为例,我们先删除它(root用户):

$ rm /var/log/syslog

然后使用lsof查看那个进程打开了该文件:

$ lsof |grep syslog
rs:main 993 1119   syslog 5w  REG    8,10  78419  528470 /var/log/syslog (deleted)

可以找到进程id为993的进程打开了该文件,我们知道每个进程在/proc下都有文件描述符打开的记录:

$ ls -l /proc/993/fd
lr-x------ 1 root root 64 3月 5 18:30 0 -> /dev/null
l-wx------ 1 root root 64 3月 5 18:30 1 -> /dev/null
l-wx------ 1 root root 64 3月 5 18:30 2 -> /dev/null
lrwx------ 1 root root 64 3月 5 18:30 3 -> socket:[15032]
lr-x------ 1 root root 64 3月 5 18:30 4 -> /proc/kmsg
l-wx------ 1 root root 64 3月 5 18:30 5 -> /var/log/syslog (deleted)
l-wx------ 1 root root 64 3月 5 18:30 6 -> /var/log/auth.log

这里就找到了被删除的syslog文件,文件描述符是5,我们把它重定向出来:

$ cat /proc/993/fd/5 > syslog
$ ls -al /var/log/syslog
-rw-r--r-- 1 root root 78493 3月 5 19:22 /var/log/syslog

这样我们就恢复了syslog文件。

查看当前文件被哪些进程打开

Windows下经常遇到要删除某个文件,然后告诉你某个程序正在使用,然而不告诉你具体是哪个程序。我们可以在资源管理器-性能-资源监视器-cpu-关联的句柄处搜索文件,即可找到打开该文件的程序,但是搜索速度感人。

linux就比较容易了,使用lsof命令就可以了,例如要查看当前哪些程序打开了hello.c:

$ lsof hello.c
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
tail 28731 hyb 3r REG 8,15  228 138441 hello.c

但是我们会发现,使用vi打开的hello.c并没有找出来,这是因为vi打开的是一个临时副本。我们换一种方式查找:

$ lsof |grep hello.c
tail  28906     hyb 3r  REG    8,15  228  138441 /home/hyb/workspaces/c/hello.c
vi  28933     hyb 9u  REG    8,15  12288  137573 /home/hyb/workspaces/c/.hello.c.swp

这样我们就找到了两个程序和hello.c文件相关。

这里grep的作用是从所有结果中只列出符合条件的结果。

查看某个目录文件被打开情况

$ lsof +D ./

查看当前进程打开了哪些文件

使用方法:lsof -c 进程名

通常用于程序定位问题,例如用于查看当前进程使用了哪些库,打开了哪些文件等等。假设有一个循环打印字符的hello程序:

$ lsof -c hello
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
hello 29190 hyb cwd DIR 8,15  4096 134538 /home/hyb/workspaces/c
hello 29190 hyb rtd DIR 8,10  4096  2 /
hello 29190 hyb txt REG 8,15  9816 138314 /home/hyb/workspaces/c/hello
hello 29190 hyb mem REG 8,10 1868984 939763 /lib/x86_64-linux-gnu/libc-2.23.so
hello 29190 hyb mem REG 8,10 162632 926913 /lib/x86_64-linux-gnu/ld-2.23.so
hello 29190 hyb 0u CHR 136,20  0t0  23 /dev/pts/20
hello 29190 hyb 1u CHR 136,20  0t0  23 /dev/pts/20
hello 29190 hyb 2u CHR 136,20  0t0  23 /dev/pts/20

我们可以从中看到,至少它用到了/lib/x86_64-linux-gnu/libc-2.23.so以及hello文件。

也可以通过进程id查看,可跟多个进程id,使用逗号隔开:

$ lsof -p 29190
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
hello 29190 hyb cwd DIR 8,15  4096 134538 /home/hyb/workspaces/c
hello 29190 hyb rtd DIR 8,10  4096  2 /
hello 29190 hyb txt REG 8,15  9816 138314 /home/hyb/workspaces/c/hello
hello 29190 hyb mem REG 8,10 1868984 939763 /lib/x86_64-linux-gnu/libc-2.23.so
hello 29190 hyb mem REG 8,10 162632 926913 /lib/x86_64-linux-gnu/ld-2.23.so
hello 29190 hyb 0u CHR 136,20  0t0  23 /dev/pts/20
hello 29190 hyb 1u CHR 136,20  0t0  23 /dev/pts/20
hello 29190 hyb 2u CHR 136,20  0t0  23 /dev/pts/20

当然这里还有一种方式,就是利用proc文件系统,首先找到hello进程的进程id:

$ ps -ef|grep hello
hyb  29190 27929 0 21:14 pts/20 00:00:00 ./hello 2
hyb  29296 28848 0 21:18 pts/22 00:00:00 grep --color=auto hello

可以看到进程id为29190,查看该进程文件描述记录目录:

$ ls -l /proc/29190/fd
lrwx------ 1 hyb hyb 64 3月  2 21:14 0 -> /dev/pts/20
lrwx------ 1 hyb hyb 64 3月  2 21:14 1 -> /dev/pts/20
lrwx------ 1 hyb hyb 64 3月  2 21:14 2 -> /dev/pts/20

这种方式能够过滤很多信息,因为它只列出了该进程实际打开的,这里它只打开了0,1,2,即标准输入,标准输出和标准错误。

查看某个端口被占用情况

在使用数据库或者启用web服务的时候,总能遇到端口占用问题,那么怎么查看某个端口是否被占用呢?

$ lsof -i :6379
COMMAND   PID USER  FD  TYPE DEVICE SIZE/OFF NODE NAME
redis-ser 29389 hyb  6u IPv6 534612   0t0 TCP *:6379 (LISTEN)
redis-ser 29389 hyb  7u IPv4 534613   0t0 TCP *:6379 (LISTEN)

这里可以看到redis-ser进程占用了6379端口。

查看所有的TCP/UDP连接

$ lsof -i tcp
ava    2534 hyb  6u IPv6 31275   0t0 TCP localhost:9614 (LISTEN)
java    2534 hyb  22u IPv6 96922   0t0 TCP localhost:9614->localhost:39004 (ESTABLISHED)
java    2534 hyb  23u IPv6 249588   0t0 TCP localhost:9614->localhost:45460 (ESTABLISHED)

当然我们也可以使用netstat命令。

$ netstat -anp|grep 6379

这里的-i参数可以跟多种条件:

  • -i 4    #ipv4地址
  • -i 6    #ipv6地址
  • -i tcp  #tcp连接
  • -i :3306  #端口
  • -i @ip  #ip地址

因此需要查看与某个ip地址建立的连接时,可以使用下面的方式:

$ lsof -i@127.0.0.1

查看某个用户打开了哪些文件

linux是一个多用户操作系统,怎么知道其他普通用户打开了哪些文件呢?可使用-u参数

$ lsof -u hyb
(内容太多,省略)

列出除了某个进程或某个用户打开的文件

实际上和前面使用方法类似,只不过,在进程id前面或者用户名前面加^,例如:

lsof -p ^1   #列出除进程id为1的进程以外打开的文件
lsof -u ^root #列出除root用户以外打开的文件

总结

以上介绍基于一个条件,实际上多个条件可以组合,例如列出进程id为1的进程打开的tcp套接字文件:

lsof -p 1 -i tcp

lsof参数很多,具体的可以使用man命令查看,但是对于我们来说,知道这些实用的基本足够。

好了,以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对我们的支持。

(0)

相关推荐

  • Linux中chown与chmod两个命令的区别详解

    在linux系统中,chmod和chown命令都可以来设置权限,但他们也是不同的:chmod是用来设置文件夹和文件权限的,比如我们系统中的文件不可读写,需要用来设置777权限:而chown是用来设置用户组的,比如授权某用户组,方便控制用户权限. 今天要分享的2个命令也是我们平时常用的,chmod与chown看似拼写还有点差不多,但是两者的用途是不同的.chmod是用来设置文件夹和文件权限的,比如我们在VPS主机中文件不可读写,需要用来设置777权限:而chown是用来设置用户组的,比如授权某用户

  • Linux中使用命令more,less,cat查看文件内容

    Linux中命令cat.more.less均可用来查看文件内容:cat是一次性显示整个文件的内容,还可以将多个文件连接起来显示,它常与重定向符号配合使用,适用于文件内容少的情况:more和less一般用于显示文件内容超过一屏的内容,并且提供翻页的功能.less比more更强大,提供翻页,跳转,查找等命令. 众所周知Linux中命令cat.more.less均可用来查看文件内容,主要区别有: cat是一次性显示整个文件的内容,还可以将多个文件连接起来显示,它常与重定向符号配合使用,适用于文件内容少

  • Linux下升级python和安装pip的详解

    Linux版本升级: 1.首先确认Linux操作系统中自带的python 版本时候与自己所需要的版本一致 所有的python版本都在https://www.python.org/ftp/python/ 选择下载 2. wget https://www.python.org/ftp/python/2.7.11/Python-2.7.11.tgz 进行下载 3.解压 tar -zxvf Python-2.7.11.tgz 进入Python-2.7.11目录  输入 ./configure make

  • Linux下删除乱码或特殊字符文件的方法讲解

    由于编码原因,在linux服务器上上传.创建中文文件或目录时,会产生乱码,如果想删除它,用rm命令是删除不了的,这种情况下,用find命令可以删除乱码的文件或目录. 在linux文件系统中,每个文件都有一个i节点号,可以通过i节点号来管理文件.首先进入乱码文件或目录所在的目录 使用ls -i命令找到文件或目录的inode, 文件或目录前面的数字字符串就是inode,接下来使用find命令查询并且删除此文件或目录. 注意:此方法只适用于删除文件或空的文件夹. 非空文件夹怎么删除呢? 首先也是先查i

  • Linux获取当前脚本真实路径的方法

    1.获取当前脚本的真实路径: #!/bin/bash if [[ $0 =~ ^\/.* ]] #判断当前脚本是否为绝对路径,匹配以/开头下的所有 then script=$0 else script=$(pwd)/$0 fi script=`readlink -f $script` #获取文件的真实路径 script_path=${script%/*} #获取文件所在的目录 realpath=$(readlink -f $script_path) #获取文件所在目录的真实路径 echo $sc

  • Linux中修改mysql默认编码的方法步骤

    在开发过程中,如果还原MySQL数据库后,数据库数据出现乱码,可以通过修改数据库默认编码来解决. 以下以把MySQL默认编码修改为UTF-8作为例子演示修改流程: 1.先查看mysql的信息 # 查看数据库安装位置 whereis mysql # 登录数据库 mysql -u root -p 按提示输入密码 # 查看mysql状态 mysql>status 2.修改my.cnf 文件 目录为/etc/my.cnf 如果系统中没有my.cnf文件.则需要创建此文件,具体步骤请看3,如果存在,直接跳

  • Linux Shell在目录下使用for循环结合if查找文件的巧用

    1.for循环对目录做遍历,if判断文件是否为要查找的文件. 示例1: #!/bin/bash if [ $# -lt 1 ];then echo "Usage:$0 + filepath" exit fi #判断用户是否输入了参数 match=$1 #将要查的文件赋值给变量match found=0 #定义一个初始变量作为发生条件,当文件找到时对此变量重新赋值 for file in /etc/* #对目录进行遍历 do if [ $file == $match ];then #判断

  • 高并发nginx服务器的linux内核优化配置讲解

    由于默认的linux内核参数考虑的是最通用场景,这明显不符合用于支持高并发访问的Web服务器的定义,所以需要修改Linux内核参数,是的Nginx可以拥有更高的性能: 在优化内核时,可以做的事情很多,不过,我们通常会根据业务特点来进行调整,当Nginx作为静态web内容服务器.反向代理或者提供压缩服务器的服务器时,期内核参数的调整都是不同的,这里针对最通用的.使Nginx支持更多并发请求的TCP网络参数做简单的配置: 以下linux 系统内核优化配置均经在线业务系统测试,并发10万左右服务器运行

  • Linux上通过SSH挂载远程文件系统方法详解

    SSHFS的特点: 基于FUSE(Linux的最佳用户空间文件系统框架) 多线程:在服务器上可以有多个请求 允许大读取(最大64k) 缓存目录内容 步骤1:安装fuse-sshfs 对于centos/rhel用户,fuse sshfs在epel repository下可用,因此请确保在系统中安装了epel repository.现在执行以下命令安装它 在CENTOS/RHELL上: #yum install fuse-sshfs 在Ubuntu和Dabian上: $ sudo apt-get u

  • Linux关于透明大页的使用与禁用介绍

    引言 随着计算需求规模的不断增大,应用程序对内存的需求也越来越大.为了实现虚拟内存管理机制,操作系统对内存实行分页管理.自内存"分页机制"提出之始,内存页面的默认大小便被设置为 4096 字节(4KB),虽然原则上内存页面大小是可配置的,但绝大多数的操作系统实现中仍然采用默认的 4KB 页面. 4KB 大小的页面在"分页机制"提出的时候是合理的,因为当时的内存大小不过几十兆字节,然而当物理内存容量增长到几 G 甚至几十 G 的时候,操作系统仍然以 4KB 大小为页面

随机推荐