linux lsof详解

本文转自：http://blog.csdn.net/guoguo1980/archive/2008/04/24/2324454.aspx

linuxlsof详解收藏

lsof简介lsof（listopenfiles）是一个列出当前系统打开文件的工具。在linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。所以如传输控制协议(TCP)和用户数据报协议(UDP)套接字等，系统在后台都为该应用程序分配了一个文件描述符，无论这个文件的本质如何，该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息，因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。lsof使用lsof输出信息含义在终端下输入lsof即可显示系统打开的文件，因为lsof需要访问核心内存和各种文件，所以必须以root用户的身份运行它才能够充分地发挥其功能。COMMANDPIDUSERFDTYPEDEVICESIZENODENAME

init1rootcwdDIR3,310242/

init1rootrtdDIR3,310242/

init1roottxtREG3,3384321763452/sbin/init

init1rootmemREG3,31061141091620/lib/libdl-2.6.so

init1rootmemREG3,375606961091614/lib/libc-2.6.so

init1rootmemREG3,3794601091669/lib/libselinux.so.1

init1rootmemREG3,32232801091668/lib/libsepol.so.1

init1rootmemREG3,35641361091607/lib/ld-2.6.so

init1root10uFIFO0,151309/dev/initctl

每行显示一个打开的文件，若不指定条件默认将显示所有进程打开的所有文件。lsof输出各列信息的意义如下：COMMAND：进程的名称

PID：进程标识符

USER：进程所有者

FD：文件描述符，应用程序通过文件描述符识别该文件。如cwd、txt等

TYPE：文件类型，如DIR、REG等

DEVICE：指定磁盘的名称

SIZE：文件的大小

NODE：索引节点（文件在磁盘上的标识）

NAME：打开文件的确切名称

其中FD列中的文件描述符cwd值表示应用程序的当前工作目录，这是该应用程序启动的目录，除非它本身对这个目录进行更改。txt类型的文件是程序代码，如应用程序二进制文件本身或共享库，如上列表中显示的/sbin/init程序。其次数值表示应用程序的文件描述符，这是打开该文件时返回的一个整数。如上的最后一行文件/dev/initctl，其文件描述符为10。u表示该文件被打开并处于读取/写入模式，而不是只读®或只写(w)模式。同时还有大写的W表示该应用程序具有对整个文件的写锁。该文件描述符用于确保每次只能打开一个应用程序实例。初始打开每个应用程序时，都具有三个文件描述符，从0到2，分别表示标准输入、输出和错误流。所以大多数应用程序所打开的文件的FD都是从3开始。与FD列相比，Type列则比较直观。文件和目录分别称为REG和DIR。而CHR和BLK，分别表示字符和块设备；或者UNIX、FIFO和IPv4，分别表示UNIX域套接字、先进先出(FIFO)队列和网际协议(IP)套接字。lsof常用参数lsof常见的用法是查找应用程序打开的文件的名称和数目。可用于查找出某个特定应用程序将日志数据记录到何处，或者正在跟踪某个问题。例如，linux限制了进程能够打开文件的数目。通常这个数值很大，所以不会产生问题，并且在需要时，应用程序可以请求更大的值（直到某个上限）。如果你怀疑应用程序耗尽了文件描述符，那么可以使用lsof统计打开的文件数目，以进行验证。lsof语法格式是：lsof［options］filename

常用的参数列表：lsoffilename显示打开指定文件的所有进程

lsof-a表示两个参数都必须满足时才显示结果

lsof-cstring显示COMMAND列中包含指定字符的进程所有打开的文件

lsof-uusername显示所属user进程打开的文件

lsof-ggid显示归属gid的进程情况

lsof+d/DIR/显示目录下被进程打开的文件

lsof+D/DIR/同上，但是会搜索目录下的所有目录，时间相对较长

lsof-dFD显示指定文件描述符的进程

lsof-n不将IP转换为hostname，缺省是不加上-n参数

lsof-i用以显示符合条件的进程情况

lsof-i[46][protocol][@hostname|hostaddr][:service|port]

46-->IPv4orIPv6

protocol-->TCPorUDP

hostname-->Internethostname

hostaddr-->IPv4地址

service-->/etc/service中的servicename(可以不只一个)

port-->端口号(可以不只一个)

例如：查看22端口现在运行的情况#lsof-i:22

COMMANDPIDUSERFDTYPEDEVICESIZENODENAME

sshd1409root3uIPv65678TCP*:ssh(LISTEN)

查看所属root用户进程所打开的文件类型为txt的文件:#lsof-a-uroot-dtxt

COMMANDPIDUSERFDTYPEDEVICESIZENODENAME

init1roottxtREG3,3384321763452/sbin/init

mingetty1632roottxtREG3,3143661763337/sbin/mingetty

mingetty1633roottxtREG3,3143661763337/sbin/mingetty

mingetty1634roottxtREG3,3143661763337/sbin/mingetty

mingetty1635roottxtREG3,3143661763337/sbin/mingetty

mingetty1636roottxtREG3,3143661763337/sbin/mingetty

mingetty1637roottxtREG3,3143661763337/sbin/mingetty

kdm1638roottxtREG3,31325481428194/usr/bin/kdm

X1670roottxtREG3,317163961428336/usr/bin/Xorg

kdm1671roottxtREG3,31325481428194/usr/bin/kdm

startkde2427roottxtREG3,36454081544195/bin/bash

......

lsof使用实例一、查找谁在使用文件系统在卸载文件系统时，如果该文件系统中有任何打开的文件，操作通常将会失败。那么通过lsof可以找出那些进程在使用当前要卸载的文件系统，如下：#lsof/GTES11/

COMMANDPIDUSERFDTYPEDEVICESIZENODENAME

bash4208rootcwdDIR3,140962/GTES11/

vim4230rootcwdDIR3,140962/GTES11/

在这个示例中，用户root正在其/GTES11目录中进行一些操作。一个bash是实例正在运行，并且它当前的目录为/GTES11，另一个则显示的是vim正在编辑/GTES11下的文件。要成功地卸载/GTES11，应该在通知用户以确保情况正常之后，中止这些进程。这个示例说明了应用程序的当前工作目录非常重要，因为它仍保持着文件资源，并且可以防止文件系统被卸载。这就是为什么大部分守护进程（后台进程）将它们的目录更改为根目录、或服务特定的目录（如sendmail示例中的/var/spool/mqueue）的原因，以避免该守护进程阻止卸载不相关的文件系统。二、恢复删除的文件当Linux计算机受到入侵时，常见的情况是日志文件被删除，以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件，比如在清理旧日志时，意外地删除了数据库的活动事务日志。有时可以通过lsof来恢复这些文件。当进程打开了某个文件时，只要该进程保持打开该文件，即使将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录索引节点。在/proc目录下，其中包含了反映内核和进程树的各种文件。/proc目录挂载的是在内存中所映射的一块区域，所以这些文件和目录并不存在于磁盘中，因此当我们对这些文件进行读取和写入时，实际上是在从内存中获取相关信息。大多数与lsof相关的信息都存储于以进程的PID命名的目录中，即/proc/1234中包含的是PID为1234的进程的信息。每个进程目录中存在着各种文件，它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof程序使用该信息和其他关于内核内部状态的信息来产生其输出。所以lsof可以显示进程的文件描述符和相关的文件名等信息。也就是我们通过访问进程的文件描述符可以找到该文件的相关信息。当系统中的某个文件被意外地删除了，只要这个时候系统中还有进程正在访问该文件，那么我们就可以通过lsof从/proc目录下恢复该文件的内容。假如由于误操作将/var/log/messages文件删除掉了，那么这时要将/var/log/messages文件恢复的方法如下：首先使用lsof来查看当前是否有进程打开/var/logmessages文件，如下：#lsof|grep/var/log/messages

syslogd1283root2wREG3,353810171773647/var/log/messages(deleted)

从上面的信息可以看到PID1283（syslogd）打开文件的文件描述符为2。同时还可以看到/var/log/messages已经标记被删除了。因此我们可以在/proc/1283/fd/2（fd下的每个以数字命名的文件表示进程对应的文件描述符）中查看相应的信息，如下：#head-n10/proc/1283/fd/2

Aug413:50:15holmes86syslogd1.4.1:restart.

Aug413:50:15holmes86kernel:klogd1.4.1,logsource=/proc/kmsgstarted.

Aug413:50:15holmes86kernel:Linuxversion2.6.22.1-8([email protected])(gccversion4.2.0)#1SMPWedJul1811:18:32EDT2007

Aug413:50:15holmes86kernel:BIOS-providedphysicalRAMmap:

Aug413:50:15holmes86kernel:BIOS-e820:0000000000000000-000000000009f000(usable)

Aug413:50:15holmes86kernel:BIOS-e820:000000000009f000-00000000000a0000(reserved)

Aug413:50:15holmes86kernel:BIOS-e820:0000000000100000-000000001f7d3800(usable)

Aug413:50:15holmes86kernel:BIOS-e820:000000001f7d3800-0000000020000000(reserved)

Aug413:50:15holmes86kernel:BIOS-e820:00000000e0000000-00000000f0007000(reserved)

Aug413:50:15holmes86kernel:BIOS-e820:00000000f0008000-00000000f000c000(reserved)

从上面的信息可以看出，查看/proc/8663/fd/15就可以得到所要恢复的数据。如果可以通过文件描述符查看相应的数据，那么就可以使用I/O重定向将其复制到文件中，如:cat/proc/1283/fd/2>/var/log/messages

对于许多应用程序，尤其是日志文件和数据库，这种恢复删除文件的方法非常有用。

本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/guoguo1980/archive/2008/04/24/2324454.aspx

二。lsof用法

lsof用法

[root@192~]#lsof-i:21

COMMANDPIDUSERFDTYPEDEVICESIZENODENAME

proftpd17121nobody0uIPv41636058TCP*:ftp(LISTEN)

查看某个端口什么程序在监听

lsof的功能很多，特別提醒大家，-c，-g，-p，-u，这四个参数最有用。更详细的资料请参看：manlsof。

1、查看文件系统阻塞

根据工作需要，系统管理员想卸载一个文件系统并执行umount/mountpoint，但程序报告常常显示：umount:/mountpoint:deviceisbusy；这是因为该文件系统上有正在打开的文件而不允许你这么做。这时，我们需要知道哪些文件、程序及用户仍在使用该系统，以便通知用户退出该系统，可以使用lsof识别正在打开一个特定文件系统的进程，执行如下命令：

/usr/sbin/lsof/mountpoint

在这里，mountpoint就是安装位置。例如：

#/usr/sbin/lsof/home

COMMANDPIDUSERFDTYPEDEVICESIZENODENAME

bash12134mengcwdDIR8,5409632705/home/meng

telnet12176mengcwdDIR8,5409632705/home/meng

bash19809mengcwdDIR8,5409632705/home/meng

bash20276mengcwdDIR8,5409632705/home/meng

su20315rootcwdDIR8,5409632705/home/meng

bash20316rootcwdDIR8,5409632705/home/meng

csh20374rootcwdDIR8,5409632705/home/meng

lsof20396rootcwdDIR8,5409632705/home/meng

lsof20397rootcwdDIR8,5409632705/home/meng

显然，所有使用这些被打开的文件的进程都需要在文件系统能够被卸载前被终止。管理员以root身份，kill掉占用这个文件系统的进程，解除文件系统阻塞。

2、搜索打开的网络连接

如果想搜索IP地址为10.645.64.23的远程连接主机的所有网络连接,可以执行如下命令:

/usr/sbin/lsof–[email protected]可以打开系统中该远程知己所有打开的套接字。

#[email protected]

COMMANDPIDUSERFDTYPEDEVICESIZE/OFFINODENAME

telnetd6605root0uinet0x14813f000t0TCPxpp3:telnet->linuxone:33143(ESTABLISHED)

telnetd6605root1uinet0x14813f000t0TCPxpp3:telnet->linuxone:33143(ESTABLISHED)

telnetd6605root2uinet0x14813f000t0TCPxpp3:telnet->linuxone:33143(ESTABLISHED)

3、寻找本地断开的打开文件

用户经常遇到这种情况，当一个进程正在向一个文件写数据时，该文件的目录可能被移动。这就产生了一个非常大的问题。例如，用户可能发现正在向/data写数据，但是却看不到文件增大，LSOF这个工具可以找到这样的错误，例如：

/usr/sbin/lsof+L1，通常可以看到下面的信息：

#lsof+L1

COMMANDPIDUSERFDTYPEDEVICESIZE/OFFNLINKNODENAME

svrMgt_mi458root4rVREG8,0003418/(/dev/rz0a)

yes677root1wVREG8,0186523648092888/(/dev/rz0a)

#lsof+L1

COMMANDPIDUSERFDTYPEDEVICESIZE/OFFNLINKNODENAME

svrMgt_mi458root4rVREG8,0003418/(/dev/rz0a)

yes677root1wVREG8,0273588224092888/(/dev/rz0a)

我们可以用kill-9PID命令来结束PID显示的命令排除错误，释放空间。

我们还可以用-a选项来限制lsof报告单文件系统中的链接数量。例如，为了限制到/data部分的输出，可以输入：/usr/sbin/lsof–a+L1/data

4、搜索被程序打开的所有文件及打开的文件相关联进程

如果想知道执行PID号为637的sendmail命令打开了哪些文件的话，可以执行lsof-p637命令。输出的结果如下：

#lsof-p637

COMMANDPIDUSERFDTYPEDEVICESIZE/OFFNODENAME

sendmail637rootcwdVDIR8,6512470400/usr/var/spool/mqueue

sendmail637roottxtVREG8,64669449650/usr(/dev/rz0g)

sendmail637roottxtVREG8,013926416016/sbin/loader

sendmail637roottxtVREG8,0166310438402/shlib/libc.so

sendmail637root0rVCHR2,20t09607/dev/null

sendmail637root1wVCHR2,20t09607/dev/null

sendmail637root2wVCHR2,20t09607/dev/null

sendmail637root3uunix0x0c2fc2800t0->0x1ead2b40

sendmail637root4uinet0x0c34c2000t0TCP*:smtp(LISTEN)

上述输出信息显示了该程序当前打开的所有文件、设备、库及套接字等。

执行下面的命令可以发现哪些进程正在使用某个特定的文件，如下所示，可以看出，只有系统记录后台进程syslogd打开messages这个文件。

#lsof/var/adm/messages

COMMANDPIDUSERFDTYPEDEVICESIZE/OFFINODENAME

syslogd147root16wVREG8,6265336522501/usr/var/adm/messages

5、其它使用命令(更详细的资料请manlsof，这部分参看了一些资料给大家总结一下)

若沒有加上任何的参数，lsof会列出所有被程序打开的文件。

参数可以相互结合，ex:-a-b-c等同于-abc

-?-h这两个参数意思相同，显示出lsof的使用说明。

-a参数被视为AND（注意:-a参数一但加上，会影响全部的参数。）

-cc显示出以字母c开头进程现在打开的文件

例:显示以init进程现在打开的文件

#lsof-cinit

COMMANDPIDUSERFDTYPEDEVICESIZE/OFFINODENAME

init1rootcwdVDIR4095,36537681922/

init1roottxtVREG4095,365376286720463/sbin/init

+ds依照文件夹s来搜寻，此参数将不会继续深入搜寻此文件夹

例:显示在/usr/users/tongxl目录下被程序正在打开的文件(如下所示)

#lsof+d/usr/users/tongxl

COMMANDPIDUSERFDTYPEDEVICESIZE/OFFNODENAME

ksh26946rootcwdVDIR8,651251281/usr/users/tongxl/c

a.out26953rootcwdVDIR8,651251281/usr/users/tongxl/c

+DD同上，但是会搜索目录下的目录，时间较长。（注意︰lsof以此参数进行时，须花费较多的动态记忆体。尤其在处理较大的文件夹时，请务必审慎使用之。）

例:显示在/usr/local/文件夹下被程序正在打开的文件(如下)很明显可以看出二者的差别

#lsof+D/usr/users/tongxl

COMMANDPIDUSERFDTYPEDEVICESIZE/OFFNODENAME

ksh26946rootcwdVDIR8,651251281/usr/users/tongxl/c

a.out26953rootcwdVDIR8,651251281/usr/users/tongxl/c

a.out26953roottxtVREG8,62457651311/usr/users/tongxl/c/a.out

-ds此参数以filedescriptor(FD)值显示结果，可以采用范围表示，如1-3或3-10但最前面的数一定要比最后面的数小。

举例:以FD为4显示

#lsof-d4

COMMANDPIDUSERFDTYPEDEVICESIZE/OFFNODENAME

syslogd147root4uinet0x1fe0b9800t0UDP*:syslog

binlogd151root4uinet0x1fe0bd400t0UDP*:*

portmap319root4uinet0x1fe0b7400t0UDP*:111

mountd321root4uVREG8,625322516/usr(/dev/rz0g)

nfsd323root4uinet0x0c349e000t0TCP*:2049(LISTEN)

rpc.statd330root4uinet0x1ab420000t0TCPxpp3:1024(LISTEN)

rpc.lockd332root4uinet0x1fe0bbc00t0UDPxpp3:1028

snmpd449root4uunix0x1aaf65000t0/var/esnmp/esnmpd

svrMgt_mi457root4rVREG8,003424/(/dev/rz0a)

os_mibs458root4uinet0x1ab475c00t0UDP*:*

cpq_mibs460root4uunix0x1aaf77c00t0/var/esnmp/esnmp_sub460

advfsd472root4uinet0x0c3200000t0TCP*:AdvFS(LISTEN)

insightd475root4rVDIR8,651225610/usr(/dev/rz0g)

inetd506root4uinet0x1ab267000t0TCP*:ftp(LISTEN)

lpd567root4wWVREG8,64451219/usr(/dev/rz0g)

dtlogin605root4wVREG8,64344028/usr(/dev/rz0g)

Xdec616root4wVREG8,64344028/usr(/dev/rz0g)

sendmail702root4uinet0x0c3219000t0TCP*:smtp(LISTEN)

dtlogin891root4wVREG8,64344028/usr(/dev/rz0g)

dxconsole907root4wVREG8,64344028/usr(/dev/rz0g)

dtgreet908root4wVREG8,64344028/usr(/dev/rz0g)

-g[s]以程序的PGID(processgroupIDentification)显示，也可以采用范围(1-3)或个别(3,5)表示，若没有特别指定，则显示全部。

举例:以PGID为3显示

#lsof-g3

COMMANDPIDPGIDUSERFDTYPEDEVICESIZE/OFFNODENAME

kloadsrv33rootcwdVDIR8,025602/

kloadsrv33roottxtVREG8,022118416041/sbin/kloadsrv

kloadsrv33root0rVCHR0,00t09608/dev/console

kloadsrv33root1wVCHR0,00t09608/dev/console

kloadsrv33root2wVCHR0,00t09608/dev/console

-i[i]用以监听有关的任何符合的位址。若没有相关位置被指定，则监听全部。

语法:lsof-i[46][protocol][@hostname|hostaddr][:service|port]

46-->IPv4orIPv6

protocol-->TCPorUDP

hostname-->Internethostname

hostaddr-->IPv4位置

service-->/etc/service中的servicename(可以不只一个)

port-->埠号(可以不只一个)

#lsof-itcp@xp001

COMMANDPIDUSERFDTYPEDEVICESIZE/OFFNODENAME

telnetd26862root0uinet0x0c3490000t0TCPxpp3:telnet->xp001:3807(ESTABLISHED)

telnetd26862root1uinet0x0c3490000t0TCPxpp3:telnet->xp001:3807(ESTABLISHED)

telnetd26862root2uinet0x0c3490000t0TCPxpp3:telnet->xp001:3807(ESTABLISHED)

telnetd26986root0uinet0x1ab271000t0TCPxpp3:telnet->xp001:3988(ESTABLISHED)

telnetd26986root1uinet0x1ab271000t0TCPxpp3:telnet->xp001:3988(ESTABLISHED)

telnetd26986root2uinet0x1ab271000t0TCPxpp3:telnet->xp001:3988(ESTABLISHED)

-l此参数禁止将userID转换为登入名称。(预设显示登入名称)

#lsof-l|more

COMMANDPIDUSERFDTYPEDEVICESIZE/OFFNODENAME

kernel00cwdVDIR8,025602/

init10cwdVDIR8,025602/

init10txtVREG8,028672016015/(/dev/rz0a)

kloadsrv30cwdVDIR8,025602/

kloadsrv30txtVREG8,022118416041/sbin/kloadsrv

kloadsrv300rVCHR0,00t09608/dev/console

kloadsrv301wVCHR0,00t09608/dev/console

kloadsrv302wVCHR0,00t09608/dev/console

+|-L[l]+或-表示正在打开或取消显示文件连结数.若只有单纯的+L，后面没有任何数字，则表示显示全部。若其后有加上数字，只有文件连结数少于该数字的会被列出。

-n不将IP位址转换成hostname，预设是不加上-n参数。

举例:lsof-itcp@xp001-n

(您可以和上两张图比较一下，原先的hostname便回ip位置了)

#lsof-itcp@xp001-n

COMMANDPIDUSERFDTYPEDEVICESIZE/OFFNODENAME

telnetd26862root0uinet0x0c3490000t0TCP10.65.69.147:telnet->10.65.69.131:3807(ESTABLISHED)

telnetd26862root1uinet0x0c3490000t0TCP10.65.69.147:telnet->10.65.69.131:3807(ESTABLISHED)

telnetd26862root2uinet0x0c3490000t0TCP10.65.69.147:telnet->10.65.69.131:3807(ESTABLISHED)

telnetd26986root0uinet0x1ab271000t0TCP10.65.69.147:telnet->10.65.69.131:3988(ESTABLISHED)

telnetd26986root1uinet0x1ab271000t0TCP10.65.69.147:telnet->10.65.69.131:3988(ESTABLISHED)

telnetd26986root2uinet0x1ab271000t0TCP10.65.69.147:telnet->10.65.69.131:3988(ESTABLISHED)

#lsof-itcp@xp001

COMMANDPIDUSERFDTYPEDEVICESIZE/OFFNODENAME

telnetd26862root0uinet0x0c3490000t0TCPxpp3:telnet->xp001:3807(ESTABLISHED)

telnetd26862root1uinet0x0c3490000t0TCPxpp3:telnet->xp001:3807(ESTABLISHED)

telnetd26862root2uinet0x0c3490000t0TCPxpp3:telnet->xp001:3807(ESTABLISHED)

telnetd26986root0uinet0x1ab271000t0TCPxpp3:telnet->xp001:3988(ESTABLISHED)

telnetd26986root1uinet0x1ab271000t0TCPxpp3:telnet->xp001:3988(ESTABLISHED)

telnetd26986root2uinet0x1ab271000t0TCPxpp3:telnet->xp001:3988(ESTABLISHED)

-s列出文件的大小，若该文件没有大小，则留下空白。

#lsof-s

COMMANDPIDUSERFDTYPEDEVICESIZENODENAME

kernel0rootcwdVDIR8,025602/

init1rootcwdVDIR8,025602/

init1roottxtVREG8,028672016015/(/dev/rz0a)

kloadsrv3rootcwdVDIR8,025602/

kloadsrv3roottxtVREG8,022118416041/sbin/kloadsrv

kloadsrv3root0rVCHR0,09608/dev/console

kloadsrv3root1wVCHR0,09608/dev/console

kloadsrv3root2wVCHR0,09608/dev/console

-us以loginname(登入名称)或UID，列出所正在打开文件。

#lsof-utongxl

COMMANDPIDUSERFDTYPEDEVICESIZE/OFFNODENAME

csh26939tongxlcwdVDIR8,61024243236/usr--tongxl

csh26939tongxltxtVREG8,625395212856/usr(/dev/rz0g)

csh26939tongxltxtVREG8,013926416016/sbin/loader

csh26939tongxltxtVREG8,0166310438402/shlib/libc.so

csh26939tongxl0rVCHR1,00t09612/dev/tty

csh26939tongxl15uVCHR6,20t3289618/dev/pts/2

csh26939tongxl16uVCHR6,20t3289618/dev/pts/2

csh26939tongxl17uVCHR6,20t3289618/dev/pts/2

csh26939tongxl18uVCHR6,20t3289618/dev/pts/2

csh26939tongxl19uVCHR6,20t3289618/dev/pts/2

csh26990tongxlcwdVDIR8,61024243236/usr--tongxl

csh26990tongxltxtVREG8,625395212856/usr(/dev/rz0g)

csh26990tongxltxtVREG8,013926416016/sbin/loader

csh26990tongxltxtVREG8,0166310438402/shlib/libc.so

csh26990tongxl0rVCHR1,00t09612/dev/tty

csh26990tongxl15uVCHR6,10t1477979616/dev/pts/1

csh26990tongxl16uVCHR6,10t1477979616/dev/pts/1

csh26990tongxl17uVCHR6,10t1477979616/dev/pts/1

csh26990tongxl18uVCHR6,10t1477979616/dev/pts/1

csh26990tongxl19uVCHR6,10t1477979616/dev/pts/1

http://tonykorn97.itpub.net/post/6414/130087

http://bbs.chinaunix.net/viewthread.php?tid=780635

lsof全名listopenedfiles，也就是列举系统中已经被打开的文件。我们都知道，linux环境中，任何事物都是文件，设备是文件，目录是文件，甚至sockets也是文件。所以，用好lsof命令，对日常的linux管理非常有帮助。以下的说明，大部分内容来自lsof的manual文档。我所做的只是在中文翻译的基础上，进行简单的分类说明，并列举最常用的参数。

一、输出说明

lsof是linux最常用的命令之一，通常的输出格式为：

引用

COMMANDPIDUSERFDTYPEDEVICESIZENODENAME

常见包括如下几个字段：更多的可见manual。

1、COMMAND

默认以9个字符长度显示的命令名称。可使用+c参数指定显示的宽度，若+c后跟的参数为零，则显示命令的全名

2、PID：进程的ID号

3、PPID

父进程的IP号，默认不显示，当使用-R参数可打开。

4、PGID

进程组的ID编号，默认也不会显示，当使用-g参数时可打开。

5、USER

命令的执行UID或系统中登陆的用户名称。默认显示为用户名，当使用-l参数时，可显示UID。

6、FD

是文件的FileDescriptornumber，或者如下的内容：

（这里很难翻译对应的意思，保留英文）

引用

cwdcurrentworkingdirectory;

Lnnlibraryreferences(AIX);

jldjaildirectory(FreeBSD);

ltxsharedlibrarytext(codeanddata);

Mxxhexmemory-mappedtypenumberxx.

m86DOSMergemappedfile;

memmemory-mappedfile;

mmapmemory-mappeddevice;

pdparentdirectory;

rtdrootdirectory;

trkerneltracefile(OpenBSD);

txtprogramtext(codeanddata);

v86VP/ixmappedfile;

文件的FileDescriptornumber显示模式有：

引用

rforreadaccess;

wforwriteaccess;

uforreadandwriteaccess;

NforaSolarisNFSlockofunknowntype;

rforreadlockonpartofthefile;

Rforareadlockontheentirefile;

wforawritelockonpartofthefile;

Wforawritelockontheentirefile;

uforareadandwritelockofanylength;

Uforalockofunknowntype;

xforanSCOOpenServerXenixlockonpartofthefile;

XforanSCOOpenServerXenixlockontheentirefile;

spaceifthereisnolock.

7、TYPE

引用

IPv4IPv4的包；

IPv6使用IPv6格式的包，即使地址是IPv4的，也会显示为IPv6，而映射到IPv6的地址；

DIR目录

LINK链接文件

详情请看manual中更多的注释。

8、DEVICE

使用characterspecial、blockspecial表示的设备号

9、SIZE

文件的大小，如果不能用大小表示的，会留空。使用-s参数控制。

10、NODE

本地文件的node码，或者协议，如TCP等

11、NAME

挂载点和文件的全路径（链接会被解析为实际路径），或者连接双方的地址和端口、状态等

二、参数

1、不带额外参数运行

lsofpath/filename

显示已打开该目录或文件的所有进程信息

lsof`whichhttpd`

显示指定命令的信息

2、参见参数

-cw显示以w开头命令的已打开文件的信息

lsof-csshd

-pPID显示指定PID已打开文件的信息

lsof-p4401

+ddir依照文件夹dir来搜寻，但不会打开子目录

lsof+d/root

+Ddir打开dir文件夹以及其子目录搜寻

lsof+D/root/

-ds以FD列的信息进行匹配，可使用3-10，表示范围，3,10表示某些值

lsof-d3-10

-u显示某用户的已经打开的文件（或该用户执行程序已经打开的文件）

lsof-uroot

lsof-u0

◎可配合正规表达式使用

表示不包括root用户的信息：

lsof-u^root

-i监听指定的协议、端口、主机等的网络信息，格式为：

引用

[46][proto][@host|addr][:svc_list|port_list]

例如：

[email protected]为防备电子邮件地址收集器，这个E-mail地址被隐藏，你的浏览器必须支持Javascript才可看到这个邮件地址

lsof-i:22

还可以使用一些参数控制显示结果：

引用

-l禁止将userID转换为登陆名称，即显示UID

-n禁止将IP地址转换为hostname主机文件

-P不显示端口名称

-gs从PGID列进行匹配

lsof-g3-10

3、其他参数

+f所有路径参数都必须是文件系统，否则不能执行

-f所有路径参数都将作为普通的文件，例如："-f--/"中的/，只会匹配单个/路径，而不会是根目录中的所有文件

+f和-f后都应加上“--”表终结符：

lsof-f--/

+L/-L打开或关闭文件的连结数计算，当+L没有指定时，所有的连结数都会显示（默认）；若+L后指定数字，则只要连结数小于该数字的信息会显示；连结数会显示在NLINK列。

例如：+L1将显示没有unlinked的文件信息；+aL1，则显示指定文件系统所有unlinked的文件信息

-L默认参数，其后不能跟数字，将不显示连结数信息

lsof+L1

-t仅打印进程，方便shell脚本调用

lsof-t-csshd

-F指定输出那个列，可通过lsof-F?查看

-r不断执行lsof命令，默认每15秒间隔执行一次

+r也是不断执行lsof命令，但直到没有接受到文件信息，则停止

[root@www~]#pidof[-sx]program_name

選項與參數：

-s：僅列出一個PID而不列出所有的PID

-x：同時列出該programname可能的PPID那個程序的PID

範例一：列出目前系統上面init以及syslogd這兩個程式的PID

[root@www~]#pidofinitsyslogd

14286

#理論上，應該會有兩個PID才對。上面的顯示也是出現了兩個PID喔。

#分別是init及syslogd這兩支程式的PID啦。