Linux列出当前系统打开文件的工具 LSOF介绍
lsof全名list opened files,也就是列举系统中已经被打开的文件。我们都知道,linux环境中,任何事物都是文件,设备是文件,目录是文件,甚至sockets也是文件。所以,用好lsof命令,对日常的linux管理非常有帮助。
lsof是linux最常用的命令之一,通常的输出格式为:
引用
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
常见包括如下几个字段:更多的可见manual。
1、COMMAND
默认以9个字符长度显示的命令名称。可使用+c参数指定显示的宽度,若+c后跟的参数为零,则显示命令的全名
2、PID:进程的ID号
3、PPID
父进程的IP号,默认不显示,当使用-R参数可打开。
4、PGID
进程组的ID编号,默认也不会显示,当使用-g参数时可打开。
5、USER
命令的执行UID或系统中登陆的用户名称。默认显示为用户名,当使用-l参数时,可显示UID。
6、FD
是文件的File Descriptor number,或者如下的内容:
(这里很难翻译对应的意思,保留英文)
引用
cwdcurrent working directory;
Lnnlibrary references (AIX);
jldjail directory (FreeBSD);
ltxshared library text (code and data);
Mxxhex memory-mapped type number xx.
m86DOS Merge mapped file;
memmemory-mapped file;
mmap memory-mapped device;
pd parent directory;
rtdroot directory;
tr kernel trace file (OpenBSD);
txtprogram text (code and data);
v86VP/ix mapped file;
文件的File Descriptor number显示模式有:
引用
r for read access;
w for write access;
u for read and write access;
N for a Solaris NFS lock of unknown type;
r for read lock on part of the file;
R for a read lock on the entire file;
w for a write lock on part of the file;
W for a write lock on the entire file;
u for a read and write lock of any length;
U for a lock of unknown type;
x for an SCO OpenServer Xenix lock on partof the file;
Xfor an SCO OpenServer Xenix lock on the entire file;
space if there is no lock.
7、TYPE
引用
IPv4 IPv4的包;
IPv6 使用IPv6格式的包,即使地址是IPv4的,也会显示为IPv6,而映射到IPv6的地址;
DIR 目录
LINK 链接文件
详情请看manual中更多的注释。
8、DEVICE
使用character special、block special表示的设备号
9、SIZE
文件的大小,如果不能用大小表示的,会留空。使用-s参数控制。
10、NODE
本地文件的node码,或者协议,如TCP等
11、NAME
挂载点和文件的全路径(链接会被解析为实际路径),或者连接双方的地址和端口、状态等
常用的参数列表
lsof filename 显示打开指定文件的所有进程
lsof -a 表示两个参数都必须满足时才显示结果
lsof -c string 显示COMMAND列中包含指定字符的进程所有打开的文件
lsof -u username 显示所属user进程打开的文件
lsof -g gid 显示归属gid的进程情况
lsof +d /DIR/ 显示目录下被进程打开的文件
lsof +D /DIR/ 同上,但是会搜索目录下的所有目录,时间相对较长
lsof -d FD 显示指定文件描述符的进程
lsof -n 不将IP转换为hostname,缺省是不加上-n参数
lsof -i 用以显示符合条件的进程情况
lsof -i [@hostname|hostaddr][:service|port]
46 --> IPv4 or IPv6
protocol --> TCP or UDP
hostname --> Internet host name
hostaddr --> IPv4地址
service --> /etc/service中的 service name (可以不只一个)
port --> 端口号 (可以不只一个)
常用示例:
1.显示开启文件/home/oracle/10.2.0/db_1/bin/tnslsnr的进程
# lsof /home/oracle/10.2.0/db_1/bin/tnslsnr
COMMANDPID USERFD TYPE DEVICE SIZE NODE NAME
tnslsnr 3520 oracle txt REG253,5 431062 11408866 /home/oracle/10.2.0/db_1/bin/tnslsnr
2.知道22端口现在运行什么程序
# lsof -i :22
COMMANDPID USER FD TYPEDEVICE SIZE NODE NAME
sshd 3101 root 3uIPv6 8670 TCP *:ssh (LISTEN)
sshd 4545 root 3uIPv6 4237972 TCP 203.aibo.com:ssh->win-avbmq9e8ka7.gdgg.local:nsjtp-ctrl (ESTABLISHED)
3.显示init进程现在打开的文件
# lsof -c init
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 rootcwd DIR253,0 4096 2 /
init 1 rootrtd DIR253,0 4096 2 /
init 1 roottxt REG253,0 43496 524446 /sbin/init
init 1 rootmem REG253,0130448 917826 /lib64/ld-2.5.so
init 1 rootmem REG253,0 1678480 917827 /lib64/libc-2.5.so
init 1 rootmem REG253,0 23520 917686 /lib64/libdl-2.5.so
init 1 rootmem REG253,0247528 917844 /lib64/libsepol.so.1
init 1 rootmem REG253,0 95480 917845 /lib64/libselinux.so.1
init 1 root 10uFIFO 0,16 2311 /dev/initctl
4. 看进程号为1的进程打开了哪些文件
# lsof -p 1
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 rootcwd DIR253,0 4096 2 /
init 1 rootrtd DIR253,0 4096 2 /
init 1 roottxt REG253,0 43496 524446 /sbin/init
init 1 rootmem REG253,0130448 917826 /lib64/ld-2.5.so
init 1 rootmem REG253,0 1678480 917827 /lib64/libc-2.5.so
init 1 rootmem REG253,0 23520 917686 /lib64/libdl-2.5.so
init 1 rootmem REG253,0247528 917844 /lib64/libsepol.so.1
init 1 rootmem REG253,0 95480 917845 /lib64/libselinux.so.1
init 1 root 10uFIFO 0,16 2311 /dev/initctl
5. 显示归属3520的进程情况
# lsof -g 3520
COMMANDPID PGID USER FD TYPE DEVICE SIZE NODE NAME
tnslsnr 3520 3520 oraclecwd DIR 253,5 4096 11059201 /home/oracle
tnslsnr 3520 3520 oraclertd DIR 253,0 4096 2 /
tnslsnr 3520 3520 oracletxt REG 253,5 431062 11408866 /home/oracle/10.2.0/db_1/bin/tnslsnr
tnslsnr 3520 3520 oraclemem REG 253,0 130448 917826 /lib64/ld-2.5.so
tnslsnr 3520 3520 oraclemem REG 253,0 1678480 917827 /lib64/libc-2.5.so
tnslsnr 3520 3520 oraclemem REG 253,0 23520 917686 /lib64/libdl-2.5.so
tnslsnr 3520 3520 oraclemem REG 253,0 615136 917834 /lib64/libm-2.5.so
tnslsnr 3520 3520 oraclemem REG 253,0 141208 917829 /lib64/libpthread-2.5.so
tnslsnr 3520 3520 oraclemem REG 253,0 109824 917839 /lib64/libnsl-2.5.so
tnslsnr 3520 3520 oraclemem REG 253,520706622 11405436 /home/oracle/10.2.0/db_1/lib/libclntsh.so.10.1
tnslsnr 3520 3520 oraclemem REG 253,5 3803097 11410641 /home/oracle/10.2.0/db_1/lib/libnnz10.so
tnslsnr 3520 3520 oraclemem REG 253,5 83493 11407251 /home/oracle/10.2.0/db_1/lib/libons.so
tnslsnr 3520 3520 oraclemem REG 253,0 53880 917532 /lib64/libnss_files-2.5.so
tnslsnr 3520 3520 oraclemem REG 253,5 8545 11407615 /home/oracle/10.2.0/db_1/lib/libskgxn2.so
tnslsnr 3520 3520 oraclemem REG 253,5 513705 11410332 /home/oracle/10.2.0/db_1/lib/libocrutl10.so
tnslsnr 3520 3520 oraclemem REG 253,5 636161 11410330 /home/oracle/10.2.0/db_1/lib/libocr10.so
tnslsnr 3520 3520 oraclemem REG 253,5 657825 11410331 /home/oracle/10.2.0/db_1/lib/libocrb10.so
tnslsnr 3520 3520 oraclemem REG 253,5 1745769 11410365 /home/oracle/10.2.0/db_1/lib/libhasgen10.so
tnslsnr 3520 3520 oraclemem REG 253,5 61985 11410366 /home/oracle/10.2.0/db_1/lib/libclsra10.so
tnslsnr 3520 3520 oracle 0u CHR 1,3 2553 /dev/null
tnslsnr 3520 3520 oracle 1u CHR 1,3 2553 /dev/null
tnslsnr 3520 3520 oracle 2u CHR 1,3 2553 /dev/null
tnslsnr 3520 3520 oracle 3w REG 253,5 318853012 11633459 /home/oracle/10.2.0/db_1/network/log/listener.log
tnslsnr 3520 3520 oracle 4rFIFO 0,6 15661 pipe
tnslsnr 3520 3520 oracle 5r REG 253,5 11776 11410579 /home/oracle/10.2.0/db_1/network/mesg/nlus.msb
tnslsnr 3520 3520 oracle 6r REG 253,5 46592 11407160 /home/oracle/10.2.0/db_1/network/mesg/tnsus.msb
tnslsnr 3520 3520 oracle 7wFIFO 0,6 15662 pipe
tnslsnr 3520 3520 oracle 8uIPv4 15665 TCP 203.aibo.com:ncube-lm (LISTEN)
tnslsnr 3520 3520 oracle 9uunix 0xffff81021b7d6980 15666 /var/tmp/.oracle/s#3520.1
tnslsnr 3520 3520 oracle 10uunix 0xffff81021b7d66c0 15668 /var/tmp/.oracle/s#3520.2
6.依照文件夹/home/oracle来搜寻,但不会打开子目录,用来显示目录下被进程开启的文件
# lsof +d /home/oracle
COMMANDPID USER FD TYPE DEVICE SIZE NODE NAME
tnslsnr 3520 oraclecwd DIR253,5 4096 11059201 /home/oracle
7. 打开/home/oracle文件夹以及其子目录搜寻,用来显示目录下被进程开启的文件
# lsof +D /home/oracle
显示内容太多了,不显示了
8. lsof -i 用以显示符合条件的进程情况
语法: lsof -i [@hostname|hostaddr][:service|port]
46 --> IPv4 or IPv6
protocol --> TCP or UDP
hostname --> Internet host name
hostaddr --> IPv4位置
service --> /etc/service中的 service name (可以不只一个)
port --> 端口号 (可以不只一个)
例:
# lsof -i tcp@192.168.2.245:1521 -n
COMMAND PID USER FD TYPEDEVICE SIZE NODE NAME
oracle15633 oracle 16uIPv4 4069605 TCP 192.168.2.203:31580->192.168.2.245:ncube-lm (ESTABLISHED)
或
# lsof -i tcp@192.168.2.245:1521
COMMAND PID USER FD TYPEDEVICE SIZE NODE NAME
oracle15633 oracle 16uIPv4 4069605 TCP 203.aibo.com:31580->192.168.2.245:ncube-lm (ESTABLISHED)
lsof -n 不将IP转换为hostname,缺省是不加上-n参数
9. 显示某用户的已经打开的文件(或该用户执行程序已经打开的文件)
# lsof -u oracle
或
# lsof -u 0
10. 仅打印进程,方便shell脚本调用
# lsof -tc sshd
3101
4545
页:
[1]