应用场景
- 查看你进程打开的文件,打开文件的进程,进程打开的端口(TCP、UDP)
- 找回/恢复删除的文件(前提:被删除的文件存在有于文件描述符)
- 在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符
语法
``` lsof (选项)
-a:列出打开文件存在的进程; -c<进程名>:列出指定进程所打开的文件; -g:列出GID号进程详情; -d<文件号>:列出占用该文件号的进程; +d<目录>:列出目录下被打开的文件; +D<目录>:递归列出目录下被打开的文件; -n<目录>:列出使用NFS的文件; -i<条件>:列出符合条件的进程(协议、:端口、 @ip ) -p<进程号>:列出指定进程号所打开的文件; -u:列出UID号进程详情; -h:显示帮助信息; -v:显示版本信息
<a name="Ak8UN"></a>### 属性含义```bashlsofcommand PID USER FD type DEVICE SIZE NODE NAMEinit 1 root cwd DIR 8,2 4096 2 /init 1 root rtd DIR 8,2 4096 2 /init 1 root txt REG 8,2 43496 6121706 /sbin/initinit 1 root mem REG 8,2 143600 7823908 /lib64/ld-2.5.soinit 1 root mem REG 8,2 1722304 7823915 /lib64/libc-2.5.soinit 1 root mem REG 8,2 23360 7823919 /lib64/libdl-2.5.soinit 1 root mem REG 8,2 95464 7824116 /lib64/libselinux.so.1init 1 root mem REG 8,2 247496 7823947 /lib64/libsepol.so.1init 1 root 10u FIFO 0,17 1233 /dev/initctlmigration 2 root cwd DIR 8,2 4096 2 /migration 2 root rtd DIR 8,2 4096 2 /migration 2 root txt unknown /proc/2/exeksoftirqd 3 root cwd DIR 8,2 4096 2 /ksoftirqd 3 root rtd DIR 8,2 4096 2 /ksoftirqd 3 root txt unknown /proc/3/exemigration 4 root cwd DIR 8,2 4096 2 /migration 4 root rtd DIR 8,2 4096 2 /migration 4 root txt unknown /proc/4/exeksoftirqd 5 root cwd DIR 8,2 4096 2 /ksoftirqd 5 root rtd DIR 8,2 4096 2 /ksoftirqd 5 root txt unknown /proc/5/exeevents/0 6 root cwd DIR 8,2 4096 2 /events/0 6 root rtd DIR 8,2 4096 2 /events/0 6 root txt unknown /proc/6/exeevents/1 7 root cwd DIR 8,2 4096 2 /
lsof输出各列信息的意义如下:
- cwd:表示current work dirctory,即:应用程序的当前工作目录,这是该应用程序启动的目录,除非它本身对这个目录进行更改
- txt:该类型的文件是程序代码,如应用程序二进制文件本身或共享库,如上列表中显示的 /sbin/init 程序
- lnn:library references (AIX);
- er:FD information error (see NAME column);
- jld:jail directory (FreeBSD);
- ltx:shared library text (code and data);
- mxx :hex memory-mapped type number xx.
- m86:DOS Merge mapped file;
- mem:memory-mapped file;
- mmap:memory-mapped device;
- pd:parent directory;
- rtd:root directory;
- tr:kernel trace file (OpenBSD);
- v86 VP/ix mapped file;
- 0:表示标准输出
- 1:表示标准输入
-
一般在标准输出、标准错误、标准输入后还跟着文件状态模式:
u:表示该文件被打开并处于读取/写入模式。
- r:表示该文件被打开并处于只读模式。
- w:表示该文件被打开并处于写入模式。
- 空格:表示该文件的状态模式为unknow,且没有锁定。
-
同时在文件状态模式后面,还跟着相关的锁:
N:for a Solaris NFS lock of unknown type;
- r:for read lock on part of the file;
- R:for a read lock on the entire file;
- w:for a write lock on part of the file;(文件的部分写锁)
- W:for a write lock on the entire file;(整个文件的写锁)
- u:for a read and write lock of any length;
- U:for a lock of unknown type;
- x:for an SCO OpenServer Xenix lock on part of the file;
- X:for an SCO OpenServer Xenix lock on the entire file;
-
文件类型:
DIR:表示目录。
- CHR:表示字符类型。
- BLK:块设备类型。
- UNIX: UNIX 域套接字。
- FIFO:先进先出 (FIFO) 队列。
- IPv4:网际协议 (IP) 套接字。
- DEVICE:指定磁盘的名称
- SIZE:文件的大小
- NODE:索引节点(文件在磁盘上的标识)
- NAME:打开文件的确切名称
- REG:常规文件
实例
列出指定进程号所打开的文件
```bash sudo lsof -p $pid
or
sudo ls -l /proc/$pid/fd
<a name="mkZFf"></a>
#### 列出指定进程名所打开的文件
```bash
sudo lsof -c $pname
获取端口对应的进程
sudo lsof -i :9981
列出打开文件的进程
sudo lsof $filename
恢复被删除的文件
查看指定进程号下面的文件描述符
sudo ls -l /proc/$pid/fd/
查看指定描述符下面的文件
sudo ls /proc/$pid/fd/$fid
恢复文件
sudo cp /proc/$pid/fd/$fid/fname $dir
若有收获,就点个赞吧
0 人点赞
