前言
在linux环境下,任何事物都以文件的形式存在,这便产生了一句格言:“一切皆文件”,通过lsof命令便能查看文件打开情况。而lsof命令用于查看你进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP)等。
lsof可以打开哪些文件
1、普通文件
2、目录
3、网络文件系统的文件
4、字符或设备文件
5、共享库
6、管道、命名管道
7、符号链接
8、网络文件(例如:NFS file、网络socket,unix域名socket)
lsof介绍
lsof(list open files)是一个查看当前系统文件的工具。在终端上输入lsof,如果没有安装请自行yum install lsof或者apt-get install lsof。
lsof信息太多,可以在终端加上lsof|more,more命令用于将内容较长的文本文件内容进行分屏显示,方便阅读。
lsof输出各列信息的意义如下:
COMMAND:进程的名称
PID:进程标识符
USER:进程的所属组
FD:文件描述符,应用程序通过文件描述符识别该文件。如cwd、txt等。
TYPE:文件类型,如DIR、REG等
DEVICE:指定磁盘的名称
SIZE/OFF:文件的大小
NODE:索引节点(文件在磁盘上的标识)
NAME:打开文件的确切名称
使用场景举例
列出被删除但占用空间的文件
常常是由于某个大文件被删除了,但是它却被某个进程打开,导致通过普通的方式找不到它的踪迹,最常见的就是日志文件,但是还可以通过lsof命令发现这样的文件:
lsof |grep deleted
从上面的信息来看,这些文件被删除但是仍然被打开,在终端中查找时显示deleted红色的字面。
恢复打开但被删除的文件
前面我们可以找到被删除但是仍然被打开的文件,实际上文件并没有真正的消失,如果是意外被删除的,我们还有手段恢复它。/var/log/messages文件为例,我们先看一
下/var/log/messages文件是什么进程打开的。
原先系统log目录下的文件:
此时,删除文件rm -f /var/log/messages,这是时候用ls查看文件已经不存在了。
然后使用lsof查看那个进程打开了该文件:
可以找到进程id为1021的进程打开了该文件,我们知道每个进程在/proc下都有文件描述符打开的记录:
这里就找到了被删除的messages文件,文件描述符是6,我们把它重定向出来:
这样我们就恢复了messages文件。
列出所有的网络连接
lsof -i
查看与某个ip地址建立的连接
列出所有tcp 网络连接信息
总结
本篇只对lsof功能的简单介绍,要查看完整参考,运行man lsof命令。
(微信公众号【程序猿编码】)
(添加本人微信号,备注加群,进入程序猿编码交流群,领取学习资料,获取每日干货)
欢迎关注 微信公众号【程序猿编码】,专注于Linux c/c++ 、Python、Go语言、数据结构与算法、网络编程相关知识,常用的程序员工具。还有每日00:10分之前更新 新闻简报,即刻知晓天下事!
