lsof在Linux中的10個例子

lsof的意思是’列出打開的文件’，用於找出哪些文件被哪些進程打開或是占用。我們都知道Linux/UNIX的理念就是一切皆文件(包括pipes管道、sockets、directories目錄、devices設備等等)。使用lsof命令的原因之一就是，當一個磁盤不能被卸載時，借助lsof這個命令我們可以輕易的識別哪些文件正在被占用。
1、通過lsof命令列出所有打開的文件
在下面的例子中，它會以長列表的形式顯示打開的文件，為了便於理解，它以Command、PID、USER、FD、TYPE分類

# lsof
COMMAND     PID   USER   FD      TYPE             DEVICE SIZE/OFF       NODE NAME
init          1   root  cwd       DIR                8,3     4096          2 /
init          1   root  rtd       DIR                8,3     4096          2 /
init          1   root  txt       REG                8,3   150352     527181 /sbin/init
init          1   root  mem       REG                8,3    65928     654110 /lib64/libnss_files-2.12.so
init          1   root    0u      CHR                1,3      0t0       4021 /dev/null

若不指定條件默認將顯示所有進程打開的所有文件,lsof輸出各列信息的意義如下：

• COMMAND：進程的名稱
• PID：進程標識符
• USER：進程所有者
• FD：文件描述符，應用程序通過文件描述符識別該文件。如cwd、txt等
  • cwd 表示應用程序的當前工作目錄
  • RTD 根目錄
  • txt txt類型文件是程序代碼，應用程序二進制文件本身或共享庫
  • MEM 內存映射文件
  • u 表示該文件被打開並處於讀取/寫入模式，而不是只讀 ® 或只寫 (w) 模式。
  • W 表示該應用程序具有對整個文件的寫鎖。該文件描述符用於確保每次只能打開一個應用程序實例。
  • R 讀訪問
  • 初始打開每個應用程序時，都具有三個文件描述符，從 0 到 2，分別表示標准輸入、輸出和錯誤流。所以大多數應用程序所打開的文件的FD都是從3開始。
• TYPE：文件類型，如DIR、REG等
  • DIR 目錄
  • REG 基本文件
  • CHR 字符特殊文件
  • FIFO 先進先出
  • UNIX unix域套接字
• DEVICE：指定磁盤的名稱
• SIZE：文件的大小
• NODE：索引節點（文件在磁盤上的標識）
• NAME：打開文件的確切名稱

2、列出特定用戶打開的文件
使用-u選項後接用戶指定某個用戶打開文件

# lsof -u apache
COMMAND  PID   USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
httpd   6032 apache  cwd    DIR    8,3     4096       2 /
httpd   6032 apache  rtd    DIR    8,3     4096       2 /
httpd   6032 apache  txt    REG    8,3   354688 1605148 /usr/sbin/httpd
httpd   6032 apache  mem    REG    8,3    65928  654110 /lib64/libnss_files-2.12.so

3、查找特定端口運行的進程
使用-i選項來查找正在運行特定端口的進程

# lsof -i TCP:53
COMMAND   PID  USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
named   16885 named   20u  IPv4  61664      0t0  TCP localhost:domain (LISTEN)
# lsof -i UDP:53
COMMAND   PID  USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
named   16885 named  512u  IPv4  61663      0t0  UDP localhost:domain
# lsof -i:53
named   16885 named   20u  IPv4  61664      0t0  TCP localhost:domain (LISTEN)
named   16885 named  512u  IPv4  61663      0t0  UDP localhost:domain

4、列出ipv4和ipv6的文件

# lsof -i 4
COMMAND    PID  USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd      1239  root    3u  IPv4  10081      0t0  TCP *:ssh (LISTEN)
# lsof -i 6
COMMAND   PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd     1239   root    4u  IPv6  10083      0t0  TCP *:ssh (LISTEN)

5、列出TCP端口范圍1-1024端口
列出打開1-1024端口所有正在運行的程序

# lsof -i TCP:1-1024
COMMAND   PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd     1239   root    3u  IPv4  10081      0t0  TCP *:ssh (LISTEN)
sshd     1239   root    4u  IPv6  10083      0t0  TCP *:ssh (LISTEN)
httpd    2142   root    4u  IPv6  13337      0t0  TCP *:http (LISTEN)

6、通過脫字符排除某個用戶

# lsof -u^root
COMMAND     PID   USER   FD   TYPE             DEVICE SIZE/OFF    NODE NAME
dbus-daem  1212   dbus  cwd    DIR                8,3     4096       2 /
dbus-daem  1212   dbus  rtd    DIR                8,3     4096       2 /

7、查找特定用戶使用文件和命令

# lsof -i -u apache
COMMAND    PID   USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
httpd     6032 apache  txt    REG    8,3   354688 1605148 /usr/sbin/httpd
httpd     6032 apache  mem    REG    8,3     9488  271645 /usr/lib64/apr-util-1/apr_ldap-1.so

8、列出所有網絡連接

# lsof -i
COMMAND    PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd      1239   root    3u  IPv4  10081      0t0  TCP *:ssh (LISTEN)
sshd      1239   root    4u  IPv6  10083      0t0  TCP *:ssh (LISTEN)

9、采用pid搜索

# lsof -p 1
COMMAND PID USER   FD   TYPE             DEVICE SIZE/OFF   NODE NAME
init      1 root  cwd    DIR                8,3     4096      2 /
init      1 root  rtd    DIR                8,3     4096      2 /
init      1 root  txt    REG                8,3   150352 527181 /sbin/init

10、殺死某個特定用戶的所有活動

# kill -9 `lsof -t -u named`

補充:
查看誰在使用文件系統,在卸載文件系統時，如果某個文件系統中有任何打開文件，操作一般會失敗

# lsof /mnt/
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
bash    16672 root  cwd    DIR   11,0     8192 1856 /mnt
lsof    17041 root  cwd    DIR   11,0     8192 1856 /mnt
lsof    17042 root  cwd    DIR   11,0     8192 1856 /mnt

查看被刪除的文件

# lsof | grep deleted --color
console-k  1291   root  txt       REG                8,3   155008    1577669 /usr/sbin/console-kit-daemon.#prelink#.bXthE2 (deleted)
tail      17553   root    3r      REG                8,3        6     523317 /tmp/test2 (deleted)

應用實例
以下兩個實例分別引用其它博主的實例，筆者也在實際過程中遇到過，作用很大，所以引用過來

實例1 恢復刪除的文件

• 實例引用turbolinux

當Linux計算機受到入侵時，常見的情況是日志文件被刪除，以掩蓋攻擊者的蹤跡。管理錯誤也可能導致意外刪除重要的文件，比如在清理舊日志時，意外地刪除了數據庫的活動事務日志。有時可以通過lsof來恢復這些文件。

當進程打開了某個文件時，只要該進程保持打開該文件，即使將其刪除，它依然存在於磁盤中。這意味著，進程並不知道文件已經被刪除，它仍然可以向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外，這個文件是不可見的，因為已經刪除了其相應的目錄索引節點。

在/proc 目錄下，其中包含了反映內核和進程樹的各種文件。/proc目錄掛載的是在內存中所映射的一塊區域，所以這些文件和目錄並不存在於磁盤中，因此當我們對這些文件進行讀取和寫入時，實際上是在從內存中獲取相關信息。大多數與 lsof 相關的信息都存儲於以進程的 PID 命名的目錄中，即/proc/1234 中包含的是PID為1234 的進程的信息。每個進程目錄中存在著各種文件，它們可以使得應用程序簡單地了解進程的內存空間、文件描述符列表、指向磁盤上的文件的符號鏈接和其他系統信息。lsof 程序使用該信息和其他關於內核內部狀態的信息來產生其輸出。所以lsof 可以顯示進程的文件描述符和相關的文件名等信息。也就是我們通過訪問進程的文件描述符可以找到該文件的相關信息。

當系統中的某個文件被意外地刪除了，只要這個時候系統中還有進程正在訪問該文件，那麼我們就可以通過lsof從/proc目錄下恢復該文件的內容。 假如由於誤操作將/var/log/messages文件刪除掉了，那麼這時要將/var/log/messages文件恢復的方法如下：

首先使用lsof來查看當前是否有進程打開/var/logmessages文件，如下:

# lsof |grep /var/log/messages
syslogd   1283      root    2w      REG        3,3  5381017    1773647 /var/log/messages (deleted)

從上面的信息可以看到 PID 1283（syslogd）打開文件的文件描述符為 2。同時還可以看到/var/log/messages已經標記被刪除了。因此我們可以在 /proc/1283/fd/2 （fd下的每個以數字命名的文件表示進程對應的文件描述符）中查看相應的信息，如下：

# head -n 10 /proc/1283/fd/2
Aug  4 13:50:15 holmes86 syslogd 1.4.1: restart.
Aug  4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started.
Aug  4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 ([email protected]) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007
Aug  4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map:
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 0000000000000000 - 000000000009f000 (usable)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 000000001f7d3800 - 0000000020000000 (reserved)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 00000000e0000000 - 00000000f0007000 (reserved)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 00000000f0008000 - 00000000f000c000 (reserved)

從上面的信息可以看出，查看 /proc/1283/fd/2 就可以得到所要恢復的數據。如果可以通過文件描述符查看相應的數據，那麼就可以使用 I/O 重定向將其復制到文件中，如:

cat /proc/1283/fd/2 > /var/log/messages

對於許多應用程序，尤其是日志文件和數據庫，這種恢復刪除文件的方法非常有用。

應用實例2 磁盤剩余空間和du顯示相差太大

• 實例引用：orz DBA

今天一同事說文件系統/tmp目錄下空間用滿了，當時du統計目錄所有文件的時候卻很小。聽到這個現象，第一感覺就是應該有大文件被刪除，但是這個文件可能依然被其他程序打開，導致這個文件不能被清除。登上服務器使用lsof看了一下，果然如此，具體排查過程如下：

$ df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda5 8.7G 7.9G 407M 96% /tmp
$ sudo lsof | grep /tmp | sort -k7 -nr  #注：其實直接lsof | grep deleted 即可
sleep 18833 peien.htg 1w REG 8,5 8321143673 54 /tmp/netstat.log (deleted)
netstat_2 13571 peien.htg 1w REG 8,5 8321143673 54 /tmp/netstat.log (deleted)

上面lsof輸出結果的第二列是PID,倒數第三列是占用空間大小

可以看到文件/tmp/netstat.log (deleted)占用7個多G的空間，雖然被刪除了，但是還是有進程打開它。

然後，用PID看看是哪個程序占用這個文件：

$ ps -ef | grep 13571
51717 13571 1 0 2011 ? 00:15:00 /bin/bash /tmp/netstat_20110829.sh
51717 21456 13571 0 09:40 ? 00:00:00 sleep 10
zhuxu 21458 17014 0 09:40 pts/0 00:00:00 grep 13571

將這個進程KILL掉後，就OK了：

$ sudo kill -9 13571
$ df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda5  8.7G 56M  8.2G 1%  /tmp