lsof命令是一个列出当前系统打开文件的工具,功能强大 。
lsof 允许对核心内存进行查看,以找出系统当前如何使用这些文件。最简单的用法是查看那些进程打开了那些文件,以及那些文件由哪些进程打开。收集应用程序工作情况的信息时,或在进行某些可能损坏的数据操作前,确保文件未被使用
参数说明
-a 两个参数都满足时才显示结果
-c string 显示COMMAND列包含指定字符的进程打开的文件
-u username 显示所属用user 进程打开的文件
-g gid 显示归属gid的进程情况
+d /DIR 显示目录下被进程打开的文件
+D /DIR 搜索目录下的所有目录
-d FD 显示指定文件描述符的进程
-n 不将ip转换为hostname
-i 用以显示符合条件的进程
命令使用
1 基本使用
lsof
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root cwd DIR 3,3 1024 2 /
init 1 root rtd DIR 3,3 1024 2 /
init 1 root txt REG 3,3 38432 1763452 /sbin/init
init 1 root mem REG 3,3 106114 1091620 /lib/libdl-2.6.so
init 1 root mem REG 3,3 7560696 1091614 /lib/libc-2.6.so参数:
COMMAND:进程的名称
PID:进程标识符
USER:进程所有者
FD:文件描述符,应用程序通过文件描述符识别该文件。如cwd、txt等
TYPE:文件类型,如DIR、REG等
DEVICE:指定磁盘的名称
SIZE:文件的大小
NODE:索引节点(文件在磁盘上的标识)
NAME:打开文件的确切名称
2 查看22端口的运行情况
lsof -i :223 查看root 用户进程所打开的文件类型为txt的文件
lsof -a -u root -d txt4 指定进程打开的文件类型为txt的文件
lsof -a -p 605 -d ^txt5 使用lsof显示关于某个文件的信息
lsof /var/run/sendmail.pid6 搜索活动的连接
lsof -i @127.0.0.1 -n7 查看未释放的文件
ls -ld /proc/*/fd/* | grep deleted关于文件描述符的介绍
文件描述符
echo this is a test >input
exec 5 <input
cat <&5
exec 4>output
echo newline>&4
cat output
newline文件删除,恢复实验
lsof 用法
1> 查找谁在使用文件系统
sudo mount -o loop CentOS-6.2-x86_64-bin-DVD1.iso /mnt/dir/
tail -f /mnt/dir/TRANS.TBL
sudo umount /mnt/dir
lsof /mnt/dir
kill -9 pid
sudo umount /mnt/dir2> 恢复删除的小文件
touch test
echo my test file > test
tail -f test
rm -f test
lsof | grep test
cat /proc/5433/fd/3
cat /proc/5433/fd/3 > test
评论 (0)