from:https://www.cnblogs.com/the-study-of-linux/p/5501593.html
lsof (list open files)是一個列出當前系統打開文件的工具。在linux系統環境下,任何事物都可以以文件形式存在,通過文件不僅可以訪問常規的數據,還可以訪問網絡連接和硬件。
適應條件:lsof訪問的是核心文件和各種文件,所以必須以root用戶的身份運行才能充分發揮其功能。
lsof [選項] [絕對路徑的文件名]
顯示示例
[root@localhost ~]# lsof /usr/sbin/httpd COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME httpd 6279 root txt REG 8,2 344112 415135 /usr/sbin/httpd httpd 6281 apache txt REG 8,2 344112 415135 /usr/sbin/httpd httpd 6282 apache txt REG 8,2 344112 415135 /usr/sbin/httpd httpd 6283 apache txt REG 8,2 344112 415135 /usr/sbin/httpd httpd 6284 apache txt REG 8,2 344112 415135 /usr/sbin/httpd httpd 6285 apache txt REG 8,2 344112 415135 /usr/sbin/httpd httpd 6286 apache txt REG 8,2 344112 415135 /usr/sbin/httpd httpd 6287 apache txt REG 8,2 344112 415135 /usr/sbin/httpd httpd 6288 apache txt REG 8,2 344112 415135 /usr/sbin/httpd httpd 6546 apache txt REG 8,2 344112 415135 /usr/sbin/httpd
?
每行顯示一個打開的文件,默認如果后面不跟任何東西,將打開系統打開的所有文件
COMMAND :進程名稱
PID:進程標識符
USER:進程所有者
FD:文件描述符,應用程序通過文件描述符識別到該文件。如cwd、txt等
TYPE:文件類型,如DIR,REG
DEVICE:指定磁盤名稱
SIZE:文件大小
NODE:索引節點(文件在磁盤上的標識)
NAME:打開文件的確切名稱
補充:FD列中的文件描述cwd值表示應用程序的當前工作目錄,這是該程序啟動的目錄,除非它本身對這個目錄進行更改。txt類型的是程序代碼,如應用程序二進制文件本身或者共享庫。其
次數值表示應用程序的文件描述符,這是打開文件時一個返回的一個整數。
lsof 6660 root 0u CHR 136,0 0t0 3 /dev/pts/0 lsof 6660 root 1u CHR 136,0 0t0 3 /dev/pts/0 lsof 6660 root 2u CHR 136,0 0t0 3 /dev/pts/0 lsof 6660 root 3r DIR 0,3 0 1 /proc lsof 6660 root 4r DIR 0,3 0 36358 /proc/6660/fd lsof 6660 root 5w FIFO 0,8 0t0 36363 pipe lsof 6660 root 6r FIFO 0,8 0t0 36364 pipe lsof 6661 root cwd DIR 8,2 4096 130562 /root lsof 6661 root rtd DIR 8,2 4096 2 / lsof 6661 root txt REG 8,2 154356 415242 /usr/sbin/lsof lsof 6661 root mem REG 8,2 1907156 914957 /lib/libc-2.12.so lsof 6661 root mem REG 8,2 17892 914963 /lib/libdl-2.12.so lsof 6661 root mem REG 8,2 141080 914950 /lib/ld-2.12.so lsof 6661 root mem REG 8,2 120780 915040 /lib/libselinux.so.1 lsof 6661 root mem REG 8,2 99154448 395123 /usr/lib/locale/locale-archive lsof 6661 root 4r FIFO 0,8 0t0 36363 pipe lsof 6661 root 7w FIFO 0,8 0t0 36364 pipe
?
其中u表示該文件被打開處于讀取\寫入模式,而不是只讀或只寫模式;
??? r 只讀 ; w 只寫 ;W表示該應用程序具有對整個文件的寫鎖(確保每次只能打開一次應用程序實例)
初始打開每個應用程序時,都具有三個文件描述符,從0到2,分別表示標準輸入、輸出和錯誤流。因此,大多數應用程序
所打開的FD都是從3開始
TYPE:REG、DIR、CHR、BLK、UNIX、FIFO、IPV4
(2)
查看端口現在運行的情況
ls -i:port? #某個端口
ls -i:port1-port2 #
ls -i:1-1024????? #查看端口1-1024運行情況
(3)恢復刪除文件
當系統中的某個文件被意外刪除了,只要這個時候系統中有進程正在訪問這個文件,那么可以通過lsof 從/proc目錄下恢復文件的內容
假如/var/log/messages文件被刪了,恢復這個文件的方法:
首先使用lsof 查看當前是否有進程打開/var/log/messages文件,
#lsof |grep /var/log/messages
[root@localhost ~]# rm /var/log/messages
rm:是否刪除普通文件 "/var/log/messages"?y
[root@localhost ~]# lsof |grep /var/log/messages
rsyslogd? 5925????? root??? 1w????? REG??????? 8,2???? 4369???? 266184 /var/log/messages (deleted)
從上面的信息可以看到PID 5925(syslogd)打開文件的文件描述符為1,同時發現/var/log/messages已經被刪除了。
因此可以通過/var/log/messages文件描述符來查看文件信息。
cat /pro/5925/fd/1 [root@localhost ~]# cat /proc/5925/fd/1 May 12 08:04:11 localhost kernel: hpet1: lost 3 rtc interrupts May 12 08:04:11 localhost kernel: hpet1: lost 6 rtc interrupts May 12 08:04:11 localhost kernel: hpet1: lost 1 rtc interrupts May 12 09:25:33 localhost kernel: usb 2-2.1: USB disconnect, device number 10 May 12 09:25:33 localhost kernel: eth0: link down May 12 09:25:33 localhost kernel: usb 2-2.1: new full speed USB device number 11 using uhci_hcd May 12 09:25:33 localhost kernel: usb 2-2.1: New USB device found, idVendor=0e0f, idProduct=0008 May 12 09:25:33 localhost kernel: usb 2-2.1: New USB device strings: Mfr=1, Product=2, SerialNumber=3 May 12 09:25:33 localhost kernel: usb 2-2.1: Product: Virtual Bluetooth Adapter May 12 09:25:33 localhost kernel: usb 2-2.1: Manufacturer: VMware May 12 09:25:33 localhost kernel: usb 2-2.1: SerialNumber: 000650268328 May 12 09:25:33 localhost kernel: usb 2-2.1: configuration #1 chosen from 1 choice
?
最后通過重定向的方法恢復被刪除的/var/log/messages
cat /pro/5925/fd/1 >/var/log/messages
?
參考資料:http://baike.baidu.com/link?url=FsHZ0-as3vhzPOgTrHO8QyAmLQDPseHje2sYa0M-eZx-fiJe0vNjc4fi4d0fnc59MmooMh28Hmq2oEhnj4Vska
