linux lsof命令详解
作者:佚名 时间:2024-02-06 12:38:09 阅读:(17)
lsof是一个列出当前系统打开文件的工具,当我们需要查看用Linux文件的进程信息的时候,我们可以使用这个命令来得到我们想要的信息,接下来云梦编程为大家详细的介绍一下lsof命令的详细用法,有需要的小伙伴可以参考一下:
1、lsof命令简介:
lsof命令用于查看进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP)。找回/恢复删除的文件。
在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息,因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。
2、lsof安装:
yum install lsof
3、语法:
lsof [参数] [文件]
4、相关参数:
| -a | 列出打开文件存在的进程 |
| -c <进程名> | 列出指定进程所打开的文件 |
| -g | 列出GID号进程详情 |
| -d <文件号> | 列出占用该文件号的进程 |
| +d <目录> | 列出目录下被打开的文件 |
| +D <目录> | 递归列出目录下被打开的文件 |
| -n <目录> | 列出使用NFS的文件 |
| -i <条件> | 列出符合条件的进程 |
| -p <进程号> | 列出指定进程号所打开的文件 |
| -u | 列出UID号进程详情 |
| -h | 显示帮助信息 |
| -v | 显示版本信息 |
5、lsof输出各列信息意义:
| 参数 | 解释 |
|---|---|
| COMMAND | 进程的名称 PID:进程标识符 |
| USER | 进程所有者 |
| FD | 文件描述符,应用程序通过文件描述符识别该文件。如cwd、txt等 TYPE:文件类型,如DIR、REG等 |
| DEVICE | 指定磁盘的名称 |
| SIZE | 文件的大小 |
| NODE | 索引节点(文件在磁盘上的标识) |
| NAME | 打开文件的确切名称 |
| FD | 列中的文件描述符cwd 值表示应用程序的当前工作目录,这是该应用程序启动的目录,除非它本身对这个目录进行更改,txt 类型的文件是程序代码,如应用程序二进制文件本身或共享库,如上列表中显示的 /sbin/init 程序。 |
6、文件类型:
| 参数 | 描述 |
|---|---|
| DIR | 表示目录。 |
| CHR | 表示字符类型。 |
| BLK | 块设备类型。 |
| UNIX | UNIX 域套接字。 |
| FIFO | 先进先出 (FIFO) 队列。 |
| IPv4 | 网际协议 (IP) 套接字。 |
| DEVICE | 指定磁盘的名称 |
| SIZE | 文件的大小 |
| NODE | 索引节点(文件在磁盘上的标识) |
| NAME | 打开文件的确切名称 |
7、相关实例:
(1)、简单用法:
lsof
(2)、列出指定目录下被打开的文件:
lsof +d /root
(3)、递归列出目录下被打开的文件:
lsof +D /root
(4)、列出使用NFS的文件:
lsof -n /root
(5)、查看哪个进程在使用nginx的可执行文件:
lsof `which nginx`
(6)、查看哪个进程在占用/etc/passwd:
lsof /etc/passwd
(7)、查看uid是100的用户的进程的文件使用情况:
lsof -u1000
(8)、查看用户yundreams的进程的文件使用情况:
lsof -uyundreams
(9)、显示所有打开的端口:
lsof -i
(10)、显示所有打开80端口的进程:
lsof -i:80
(11)、显示所有打开的端口和UNIX domain文件:
lsof -i -U
(12)、显示目录下被进程开启的文件:
lsof +d /usr/local/
(13)、显示目录下被进程开启的文件:
lsof +d /usr/local/
(14)、列出进程号为1698的进程所打开的文件:
lsof -p 1698
(15)、显示使用fd为4的进程:
lsof -d 4
(16)、查看某个进程使用某个文件描述符的情况:
lsof -d 6 |grep 6139
(17)、查找谁在使用文件系统:
lsof /home/
8、恢复删除的文件:
当Linux计算机受到入侵时,常见的情况是日志文件被删除,以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件,比如在清理旧日志时,意外地删除了数据库的活动事务日志。有时可以通过lsof来恢复这些文件。
当进程打开了某个文件时,只要该进程保持打开该文件,即使将其删除,它依然存在于磁盘中。这意味着,进程并不知道文件已经被删除,它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外,这个文件是不可见的,因为已经删除了其相应的目录索引节点。
在/proc目录下,其中包含了反映内核和进程树的各种文件。/proc目录挂载的是在内存中所映射的一块区域,所以这些文件和目录并不存在于磁盘中,因此当我们对这些文件进行读取和写入时,实际上是在从内存中获取相关信息。大多数与lsof相关的信息都存储于以进程的PID命名的目录中,即/proc/1048中包含的是PID为1048的进程的信息。每个进程目录中存在着各种文件,它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof程序使用该信息和其他关于内核内部状态的信息来产生其输出。所以lsof可以显示进程的文件描述符和相关的文件名等信息。也就是我们通过访问进程的文件描述符可以找到该文件的相关信息。
当系统中的某个文件被意外地删除了,只要这个时候系统中还有进程正在访问该文件,那么我们就可以通过lsof从/proc目录下恢复该文件的内容。假如由于误操作将/var/log/messages文件删除掉了,那么这时要将/var/log/messages文件恢复的方法如下:
(1)、使用lsof来查看当前是否有进程打开/var/logmessages文件,
[root@localhost log]# lsof |grep /var/log/messages rsyslogd 1124 root 6w REG 253,0 396752 33847035 /var/log/messages in:imjour 1124 1134 root 6w REG 253,0 396752 33847035 /var/log/messages rs:main 1124 1135 root 6w REG 253,0 396752 33847035 /var/log/messages
从上面的信息可以看到 PID 1048(syslogd)打开文件的文件描述符为 2。同时还可以看到/var/log/messages已经标记被删除了。因此我们可以在 /proc/1048/fd/1 (fd下的每个以数字命名的文件表示进程对应的文件描述符)中查看相应的信息。
(2)、查看对应信息是不是我们需要恢复的:
[root@localhost log]# head -n 10 /proc/1048/fd/4 Apr 25 03:21:01 localhost rsyslogd: [origin software="rsyslogd" swVersion="8.24.0" x-pid="1048" x-info="http://www.rsyslog.com"] rsyslogd was HUPed Apr 25 03:21:02 localhost systemd: Removed slice User Slice of root. Apr 25 04:01:01 localhost systemd: Created slice User Slice of root. Apr 25 04:01:01 localhost systemd: Started Session 882 of user root. Apr 25 04:01:01 localhost systemd: Removed slice User Slice of root. Apr 25 05:01:01 localhost systemd: Created slice User Slice of root. Apr 25 05:01:01 localhost systemd: Started Session 883 of user root. Apr 25 05:01:01 localhost systemd: Removed slice User Slice of root. Apr 25 06:01:01 localhost systemd: Created slice User Slice of root. Apr 25 06:01:01 localhost systemd: Started Session 884 of user root.
从上面的信息可以看出,查看 /proc/1048/fd/2就可以得到所要恢复的数据。如果可以通过文件描述符查看相应的数据,那么就可以使用I/O重定向将其复制到文件中
(3)、数据恢复
[root@localhost log]# cat /proc/1048/fd/4 > /var/log/messages
对于许多应用程序,尤其是日志文件和数据库,这种恢复删除文件的方法非常有用。
以上就是云梦编程为大家介绍的关于lsof命令详细用法的全部内容了,希望对大家有所帮助,了解更多相关文章请关注云梦编程网!