lsof命令的幾個妙用

lsof（list open files）是一個列出當前系統打開文件的工具。在linux環境下，任何事物都以文件的形式存在，通過文件不僅僅可以訪問常規數據，還可以訪問網絡連接和硬件。

可以被打開的文件可以是：1.普通的文件，2.目錄  3.網絡文件系統的文件，4.字符設備文件  5.(函數)共享庫  6.管道，命名管道 7.符號鏈接 8.底層的socket字流，網絡socket，unix域名........還有其他很多.

在終端下輸入lsof命令即可顯示系統打開的文件，因為 lsof 需要訪問核心內存和各種文件，所以必須以 root 用戶的身份運行它才能夠充分地發揮其功能。

一、查看某端口被什么進程占用

一次在客戶現場，幫客戶調TOMCAT，啟動TOMCAT的時候報8080端口被占用

查看某端口被某個進程占用

#lsof  -i  :8080

COMMAND   PID USER   FD   TYPE   DEVICE SIZE NODE NAME

httpd    13017 root  490u  IPv4 23881972       TCP *:8080 (LISTEN)

從這里看出是被HTTPD進程占用，之前客戶說是IBM的IHS軟件已停止，看來并沒有真正停止導致端口被占用

#kill -9  13017

殺掉這個進程后，再啟TOMCAT后正常了

二、查看所屬用戶進程所打開的某種類型的文件

比如查看root用戶進程所打開的文件類型為txt的文件

# lsof -a -u root -d txt

auditd     2639 root txt       REG    3,2  102136  44536 /sbin/auditd

owcimomd   2643 root txt       REG    3,2   24560  90676 /usr/sbin/owcimomd

irqbalanc  2737 root txt       REG    3,2   25880  62557 /usr/sbin/irqbalance

nscd       2771 root txt       REG    3,2  129908  44802 /usr/sbin/nscd

vsftpd     2809 root txt       REG    3,2  129792 132934 /usr/sbin/vsftpd

xinetd     2812 root txt       REG    3,2  165952  60679 /usr/sbin/xinetd

smpppd     2825 root txt       REG    3,2  193752  99524 /usr/sbin/smpppd

sshd       2827 root txt       REG    3,2  376768  98762 /usr/sbin/sshd

zmd        2847 root txt       REG    3,2 1895856  86524 /usr/bin/mono

gdm        2893 root txt       REG    3,2  268424 126353 /opt/gnome/sbin/gdm

三、查找誰在使用某個文件系統

在卸載文件系統時，如果該文件系統中有任何打開的文件，操作通常將會失敗。那么通過lsof可以找出那些進程在使用當前要卸載的文件系統。

在這個示例中，用戶root正在其/testdata目錄中進行一些操作。一個 bash是實例正在運行，并且它當前的目錄為/testdata，另一個則顯示的是vim正在編輯/testdata下的文件。如果要成功地卸載/testdata，應該在通知用戶以確保情況正常之后，中止這些進程。 這個示例說明了應用程序的當前工作目錄非常重要，因為它仍保持著文件資源，并且可以防止文件系統被卸載。這就是為什么大部分守護進程（后臺進程）將它們的目錄更改為根目錄、或服務特定的目錄（如 sendmail 示例中的 /var/spool/mqueue）的原因，以避免該守護進程阻止卸載不相關的文件系統。

四、列出相關信息

1、列出某個用戶打開的文件信息

lsof  -u username

備注: -u 選項，u其實是user的縮寫

如 # lsof -u db2inst1

COMMAND  PID     USER   FD   TYPE   DEVICE       SIZE       NODE NAME

db2sysc 4390 db2inst1  DEL    REG      0,8                294917 /SYSV33984761

db2sysc 4390 db2inst1  DEL    REG      0,8                327686 /SYSV00000000

db2sysc 4390 db2inst1  mem    REG      3,2     132847      19074 /lib64/ld-2.4.so

db2sysc 4390 db2inst1  mem    REG      3,2     217016     158186 /var/run/nscd/passwd

db2sysc 4390 db2inst1  mem    REG      3,2     123722      19107 /lib64/libpthread-2.4.so

db2sysc 4390 db2inst1  mem    REG      3,2  102866497     137967 /opt/ibm/db2/V9.7/lib64/libdb2e.so.1

db2sysc 4390 db2inst1  mem    REG      3,2    7889612     135807 /opt/ibm/db2/V9.7/lib64/libdb2osse.so.1

db2sysc 4390 db2inst1  mem    REG      3,2     399985      19089 /lib64/libm-2.4.so

2. 列出某個程序所打開的文件信息

#lsof -c mysql

備注: -c 選項將會列出所有以mysql開頭的程序的文件，其實你也可以寫成 lsof | grep mysql, 但是第一種方法明顯比第二種方法要少打幾個字符了

3. 列出多個程序多打開的文件信息

#lsof -c mysql -c apache

4. 列出某個用戶以及某個程序所打開的文件信息

#lsof -u test -c mysql

5. 列出除了某個用戶外的被打開的文件信息

#lsof   -u ^root

備注：^這個符號在用戶名之前，將會把是root用戶打開的進程不讓顯示

6. 通過某個進程號顯示該進程打開的文件

#lsof -p 19552

COMMAND     PID USER   FD   TYPE             DEVICE    SIZE       NODE NAME

rpc.mount 19552 root  cwd    DIR                3,2     256      91560 /var/lib/nfs

rpc.mount 19552 root  rtd    DIR                3,2     584          2 /

rpc.mount 19552 root  txt    REG                3,2   77304      98667 /usr/sbin/rpc.mountd

rpc.mount 19552 root  mem    REG                3,2  132847      19074 /lib64/ld-2.4.so

rpc.mount 19552 root  DEL    REG                3,2             132550 /var/run/nscd/db5BU1wW

7. 列出多個進程號對應的文件信息

#lsof -p 123,456,789

8. 列出除了某個進程號，其他進程號所打開的文件信息

#lsof -p ^1523

9 . 列出所有的網絡連接

#lsof -i

10. 列出所有tcp 網絡連接信息

#lsof  -i tcp

11. 列出所有udp網絡連接信息

#lsof  -i udp

12. 列出誰在使用某個端口

#lsof -i :3306

13. 列出誰在使用某個特定的udp、tcp端口

#lsof -i udp:55

特定的tcp端口

#lsof -i tcp:80

14. 列出某個用戶的所有活躍的網絡端口

#lsof  -a -u test -i

15. 查看誰正在使用某個文件

#lsof   /filepath/file

16.遞歸查看某個目錄的文件信息

#lsof +D /filepath/filepath3/

備注: 使用了+D，對應目錄下的所有子目錄和文件都會被列出

五、恢復刪除的文件

當Linux計算機受到***時，常見的情況是日志文件被刪除，以掩蓋***者的蹤跡。管理錯誤也可能導致意外刪除重要的文件，比如在清理舊日志時，意外地刪除了數據庫的活動事務日志。有時可以通過lsof來恢復這些文件。

當進程打開了某個文件時，只要該進程保持打開該文件，即使將其刪除，它依然存在于磁盤中。這意味著，進程并不知道文件已經被刪除，它仍然可以向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外，這個文件是不可見的，因為已經刪除了其相應的目錄索引節點。

在/proc 目錄下，其中包含了反映內核和進程樹的各種文件。/proc目錄掛載的是在內存中所映射的一塊區域，所以這些文件和目錄并不存在于磁盤中，因此當我們對這些文件進行讀取和寫入時，實際上是在從內存中獲取相關信息。大多數與 lsof 相關的信息都存儲于以進程的 PID 命名的目錄中，即 /proc/1234 中包含的是 PID 為 1234 的進程的信息。每個進程目錄中存在著各種文件，它們可以使得應用程序簡單地了解進程的內存空間、文件描述符列表、指向磁盤上的文件的符號鏈接和其他系統信息。lsof 程序使用該信息和其他關于內核內部狀態的信息來產生其輸出。所以lsof 可以顯示進程的文件描述符和相關的文件名等信息。也就是我們通過訪問進程的文件描述符可以找到該文件的相關信息。

當系統中的某個文件被意外地刪除了，只要這個時候系統中還有進程正在訪問該文件，那么我們就可以通過lsof從/proc目錄下恢復該文件的內容。 假如由于誤操作將/var/log/messages文件刪除掉了，那么這時要將/var/log/messages文件恢復的方法如下：

首先使用lsof來查看當前是否有進程打開/var/logmessages文件，如下：

從上面的信息可以看到 PID 1283（syslogd）打開文件的文件描述符為 2。同時還可以看到/var/log/messages已經標記被刪除了。因此我們可以在 /proc/1283/fd/2 （fd下的每個以數字命名的文件表示進程對應的文件描述符）中查看相應的信息，如下：

從上面的信息可以看出，查看 /proc/8663/fd/15 就可以得到所要恢復的數據。如果可以通過文件描述符查看相應的數據，那么就可以使用 I/O 重定向將其復制到文件中，如:

對于許多應用程序，尤其是日志文件和數據庫，這種恢復刪除文件的方法非常有用。