lsof命令的原始功能是列出打开的文件的进程,但LINUX下,所有的设备都是以文件的行式存在的,所以,lsof的功能很强大!
语法:lsof [-?ahlnNPRsv][-c c][+|-d d][+|-D D][-g [s]] [+|-L [I]][-p s][+|-r [t]][-u s][names]
参数说明:若没有加上任何参数,lsof会列出所有被程序开启的文件。
-? -h 这两个参数意思相同,显示出lsof的使用说明 -a 参数被视为AND,会影响全部的参数
-C c 显示出以字符或字符串c开头的命令程序开启的文件,如$lsof -C init
+d s 在文件夹s下搜寻,此参数不会继续深入搜寻此文件夹。如显示在/usr/local下被程序开启的文件:$lsof +d /usr/local +D D 同上,但是会以该文件为基础往下全部搜寻,这样花费较大的CPU时间,请谨慎使用
-d s 此参数以file descriptor(FD)值显示结果,可以采用范围(1-3)或个别,如显示FD为4的进程:$lsof -d 4
-g [s] 以程序的PGID显示,也可以采用范围或个别表示,若没有特别指定,则显示全部,如显示PGID为6的进程:$lsof -g 6
-i 用以监听有关的任何符合的地址,若没有相关地址被指定,则监听全部
语法: lsof -i [46][protocol][@hostname|hostaddr][:serivce|port]
说明: 46 IPv4 or IPv6
protocol TCP or UDP
hostname internet host name
hostaddr IPv4地址
service /etc/service中的service name
port 端口号
-l 此参数禁止将user ID 转换为登录的名称,默认是登录名称
+|-L [l] +或-表示开启或关闭显示文件连接数,如果只有单纯的+L,后面没有任何数字,则表示显示全部,如果后面有数字,只有文件连接数少于该数字的会被列出
-n 不将IP地址转换为hostname,预设是转换的
-N 显示NFS的文件
-p s 以PID作为显示的依据
-P 此参数禁止将port number转换为service name,预设为转换
+|-r [t] 控制lsof不断重复执行,t为15秒,也就是说每隔15秒再重复执行 +r 一直执行,直到没有文件被显示 -r 永远不断的执行,直到收到中断讯号(ctrl+ c)
-R 此参数增列出PID的子程序,也就是PPID
-s 列出文件的大小,若该文件没有大小,则留下空白
-u s 列出login name或UID为的程序
-v 显示lsof的版本信息
一般root用户才能执行lsof命令,普通用户可以看见/usr/sbin/lsof命令,但是普通用户执行会显示“permission denied”
我总结一下lsof指令的用法:
lsof abc.txt 显示开启文件abc.txt的进程
lsof -i :22 知道22端口现在运行什么程序
lsof -c abc 显示abc进程现在打开的文件
lsof -g gid 显示归属gid的进程情况
lsof +d /usr/local/ 显示目录下被进程开启的文件
lsof +D /usr/local/ 同上,但是会搜索目录下的目录,时间较长
lsof -d 4 显示使用fd为4的进程
lsof -i 用以显示符合条件的进程情况
语法: lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
46 --> IPv4 or IPv6
protocol --> TCP or UDP
hostname --> Internet host name
hostaddr --> IPv4位置
service --> /etc/service中的 service name (可以不只一个)
port --> 端口号 (可以不只一个)
例子: TCP:25 - TCP and port 25
@1.2.3.4 - Internet IPv4 host address 1.2.3.4
tcp@ohaha.ks.edu.tw:ftp - TCP protocol hosthaha.ks.edu.tw service name:ftp
lsof -n 不将IP转换为hostname,缺省是不加上-n参数
例子: lsof -i tcp@ohaha.ks.edu.tw:ftp -n
lsof -p 12 看进程号为12的进程打开了哪些文件
lsof +|-r [t] 控制lsof不断重复执行,缺省是15s刷新
-r,lsof会永远不断的执行,直到收到中断信号
+r,lsof会一直执行,直到没有档案被显示
例子:不断查看目前ftp连接的情况:lsof -i tcp@ohaha.ks.edu.tw:ftp -r
lsof -s 列出打开文件的大小,如果没有大小,则留下空白
lsof -u username 以UID,列出打开的文件
lsof是list open files的缩写。
1。当你umount设备或者目录/mnt/cdrom的时候,提示device is busy。这时候可以用lsof查看这个目录(目录事实上也是文件)谁在使用
# lsof /mnt/cdrom
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
bash 13562 root cwd DIR 8,1 4096 105171 /mnt/cdrom
lsof 13857 root cwd DIR 8,1 4096 105171 /mnt/cdrom
lsof 13858 root cwd DIR 8,1 4096 105171 /mnt/cdrom
解释一下输出的几个字段的意思:
FD:File Descriptor number of the file就是文件描述符。cwd表示current working directory也就是当前工作目录。
TYPE表示the type of the node associated with the file,也就是这个文件相关的node的类型。DIR表示目录directory。
其他的可以自己man lsof去查看OUTPUT字段的解释。
2。如果一个文件被删除,但是有进程之前打开了它,并且这个进程一直没有终止,那么可以用lsof把它找回来。比如删除了/var/log/secure文件之后:
# lsof |grep /var/log/secure
syslogd 2574 root 2w REG 253,0 1099 525125 /var/log/secure (deleted)
可以看到进程号为2574的syslogd进程仍然打开了/var/log/secure这个文件,这个文件所显示状态是deleted,已经被删除。现在FD文件描述符是2w。它的意思是文件描述符是2,状态是w写。
我们可以根据这个在/proc/2574/fd/2找到被删除的/var/log/secure的内容。
# cat /proc/2574/fd/2
Aug 19 10:15:34 as4u3 sshd[1953]: Received signal 15; terminating.
Aug 19 15:39:43 as4u3 sshd[2069]: Server listening on :: port 22.
Aug 19 15:39:43 as4u3 sshd[2069]: error: Bind to port 22 on 0.0.0.0 failed: Addr ess already in use.
Aug 19 15:42:37 as4u3 sshd[2563]: Accepted password for root from ::ffff:192.168 .2.8 port 4890 ssh2
Aug 19 16:02:04 as4u3 sshd[3531]: Accepted password for root from ::ffff:192.168 .2.8 port 4935 ssh2
Aug 19 16:25:52 as4u3 sshd[2069]: Received signal 15; terminating.
Aug 29 23:16:21 as4u3 sshd[1953]: Server listening on :: port 22.
Aug 29 23:16:21 as4u3 sshd[1953]: error: Bind to port 22 on 0.0.0.0 failed: Addr ess already in use.
Aug 29 23:16:30 as4u3 sshd[1961]: Accepted password for root from ::ffff:192.168 .2.8 port 2604 ssh2
Aug 29 23:39:44 as4u3 sshd[1953]: Received signal 15; terminating.
Aug 29 23:41:36 as4u3 sshd[2669]: Server listening on :: port 22.
Aug 29 23:41:36 as4u3 sshd[2669]: error: Bind to port 22 on 0.0.0.0 failed: Addr ess already in use.
Aug 29 23:46:13 as4u3 sshd[3356]: Accepted password for root from ::ffff:192.168 .2.8 port 3127 ssh2
因此在误删log,或者被人黑掉删除日志,又没有重启syslogd进程的情况下,可以找回日志文件。所以注意这样一个问题,发现服务器被人黑掉,先不要急着操作,特别是不要急着reboot。第一步先拔掉网线,然后查看进程,查看日志。
3。查看网络连接或者什么程序在监听端口,这个跟netstat比较类似。例:查看25端口是什么程序在监听。
# lsof -i :22
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 2669 root 3u IPv6 5722 TCP *:ssh (LISTEN)
sshd 3356 root 3u IPv6 7242 TCP 192.168.2.10:ssh->192.168.2.8:3127 (ESTABLISHED)
# netstat -anp|grep 22
tcp 0 0 :::22 :::* LISTEN 2669/sshd
tcp 0 52 ::ffff:192.168.2.10:22 ::ffff:192.168.2.8:3127 ESTABLISHED 3356/0
这样就一目了然,如果还不够清楚,就根据pid号1959,用ps去查看
# ps -ef|grep 2669
root 2669 1 0 23:41 ? 00:00:00 /usr/sbin/sshd
root 3356 2669 0 23:46 ? 00:00:01 sshd: root@pts/0
root 3433 3358 0 23:54 pts/0 00:00:00 grep 2669
安全退出 - 联系我们 - 博客中国人 - 博客中国人用户服务中心 - 博客列表 - 站点存档 - 开通自己的博客
Powered by 4.0.1 UC ? 2001-2008 Comsenz Inc.
语法: lsof -i [46][protocol][@hostname|hostaddr][:serivce|port]
说明: 46 IPv4 or IPv6
protocol TCP or UDP
hostname internet host name
hostaddr IPv4地址
service /etc/service中的service name
port 端口号
-l 此参数禁止将user ID 转换为登录的名称,默认是登录名称
+|-L [l] +或-表示开启或关闭显示文件连接数,如果只有单纯的+L,后面没有任何数字,则表示显示全部,如果后面有数字,只有文件连接数少于该数字的会被列出
-n 不将IP地址转换为hostname,预设是转换的
-N 显示NFS的文件
-p s 以PID作为显示的依据
-P 此参数禁止将port number转换为service name,预设为转换
+|-r [t] 控制lsof不断重复执行,t为15秒,也就是说每隔15秒再重复执行 +r 一直执行,直到没有文件被显示 -r 永远不断的执行,直到收到中断讯号(ctrl+ c)
-R 此参数增列出PID的子程序,也就是PPID
-s 列出文件的大小,若该文件没有大小,则留下空白
-u s 列出login name或UID为的程序
-v 显示lsof的版本信息
一般root用户才能执行lsof命令,普通用户可以看见/usr/sbin/lsof命令,但是普通用户执行会显示“permission denied”
我总结一下lsof指令的用法:
lsof abc.txt 显示开启文件abc.txt的进程
lsof -i :22 知道22端口现在运行什么程序
lsof -c abc 显示abc进程现在打开的文件
lsof -g gid 显示归属gid的进程情况
lsof +d /usr/local/ 显示目录下被进程开启的文件
lsof +D /usr/local/ 同上,但是会搜索目录下的目录,时间较长
lsof -d 4 显示使用fd为4的进程
lsof -i 用以显示符合条件的进程情况
语法: lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
46 --> IPv4 or IPv6
protocol --> TCP or UDP
hostname --> Internet host name
hostaddr --> IPv4位置
service --> /etc/service中的 service name (可以不只一个)
port --> 端口号 (可以不只一个)
例子: TCP:25 - TCP and port 25
@1.2.3.4 - Internet IPv4 host address 1.2.3.4
tcp@ohaha.ks.edu.tw:ftp - TCP protocol hosthaha.ks.edu.tw service name:ftp
lsof -n 不将IP转换为hostname,缺省是不加上-n参数
例子: lsof -i tcp@ohaha.ks.edu.tw:ftp -n
lsof -p 12 看进程号为12的进程打开了哪些文件
lsof +|-r [t] 控制lsof不断重复执行,缺省是15s刷新
-r,lsof会永远不断的执行,直到收到中断信号
+r,lsof会一直执行,直到没有档案被显示
例子:不断查看目前ftp连接的情况:lsof -i tcp@ohaha.ks.edu.tw:ftp -r
lsof -s 列出打开文件的大小,如果没有大小,则留下空白
lsof -u username 以UID,列出打开的文件
lsof是list open files的缩写。
1。当你umount设备或者目录/mnt/cdrom的时候,提示device is busy。这时候可以用lsof查看这个目录(目录事实上也是文件)谁在使用
# lsof /mnt/cdrom
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
bash 13562 root cwd DIR 8,1 4096 105171 /mnt/cdrom
lsof 13857 root cwd DIR 8,1 4096 105171 /mnt/cdrom
lsof 13858 root cwd DIR 8,1 4096 105171 /mnt/cdrom
解释一下输出的几个字段的意思:
FD:File Descriptor number of the file就是文件描述符。cwd表示current working directory也就是当前工作目录。
TYPE表示the type of the node associated with the file,也就是这个文件相关的node的类型。DIR表示目录directory。
其他的可以自己man lsof去查看OUTPUT字段的解释。
2。如果一个文件被删除,但是有进程之前打开了它,并且这个进程一直没有终止,那么可以用lsof把它找回来。比如删除了/var/log/secure文件之后:
# lsof |grep /var/log/secure
syslogd 2574 root 2w REG 253,0 1099 525125 /var/log/secure (deleted)
可以看到进程号为2574的syslogd进程仍然打开了/var/log/secure这个文件,这个文件所显示状态是deleted,已经被删除。现在FD文件描述符是2w。它的意思是文件描述符是2,状态是w写。
我们可以根据这个在/proc/2574/fd/2找到被删除的/var/log/secure的内容。
# cat /proc/2574/fd/2
Aug 19 10:15:34 as4u3 sshd[1953]: Received signal 15; terminating.
Aug 19 15:39:43 as4u3 sshd[2069]: Server listening on :: port 22.
Aug 19 15:39:43 as4u3 sshd[2069]: error: Bind to port 22 on 0.0.0.0 failed: Addr ess already in use.
Aug 19 15:42:37 as4u3 sshd[2563]: Accepted password for root from ::ffff:192.168 .2.8 port 4890 ssh2
Aug 19 16:02:04 as4u3 sshd[3531]: Accepted password for root from ::ffff:192.168 .2.8 port 4935 ssh2
Aug 19 16:25:52 as4u3 sshd[2069]: Received signal 15; terminating.
Aug 29 23:16:21 as4u3 sshd[1953]: Server listening on :: port 22.
Aug 29 23:16:21 as4u3 sshd[1953]: error: Bind to port 22 on 0.0.0.0 failed: Addr ess already in use.
Aug 29 23:16:30 as4u3 sshd[1961]: Accepted password for root from ::ffff:192.168 .2.8 port 2604 ssh2
Aug 29 23:39:44 as4u3 sshd[1953]: Received signal 15; terminating.
Aug 29 23:41:36 as4u3 sshd[2669]: Server listening on :: port 22.
Aug 29 23:41:36 as4u3 sshd[2669]: error: Bind to port 22 on 0.0.0.0 failed: Addr ess already in use.
Aug 29 23:46:13 as4u3 sshd[3356]: Accepted password for root from ::ffff:192.168 .2.8 port 3127 ssh2
因此在误删log,或者被人黑掉删除日志,又没有重启syslogd进程的情况下,可以找回日志文件。所以注意这样一个问题,发现服务器被人黑掉,先不要急着操作,特别是不要急着reboot。第一步先拔掉网线,然后查看进程,查看日志。
3。查看网络连接或者什么程序在监听端口,这个跟netstat比较类似。例:查看25端口是什么程序在监听。
# lsof -i :22
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 2669 root 3u IPv6 5722 TCP *:ssh (LISTEN)
sshd 3356 root 3u IPv6 7242 TCP 192.168.2.10:ssh->192.168.2.8:3127 (ESTABLISHED)
# netstat -anp|grep 22
tcp 0 0 :::22 :::* LISTEN 2669/sshd
tcp 0 52 ::ffff:192.168.2.10:22 ::ffff:192.168.2.8:3127 ESTABLISHED 3356/0
这样就一目了然,如果还不够清楚,就根据pid号1959,用ps去查看
# ps -ef|grep 2669
root 2669 1 0 23:41 ? 00:00:00 /usr/sbin/sshd
root 3356 2669 0 23:46 ? 00:00:01 sshd: root@pts/0
root 3433 3358 0 23:54 pts/0 00:00:00 grep 2669
转发至微博
转发至微博
lsof命令的原始功能是列出打开的文件的进程,但LINUX下,所有的设备都是以文件的行式存在的,所以,lsof的功能很强大!
语法:lsof [-?ahlnNPRsv][-c c][+|-d d][+|-D D][-g [s]] [+|-L [I]][-p s][+|-r [t]][-u s][names]
参数说明:若没有加上任何参数,lsof会列出所有被程序开启的文件。
-? -h 这两个参数意思相同,显示出lsof的使用说明 -a 参数被视为AND,会影响全部的参数
推荐过这篇日志的人:
他们还推荐了:
- {list b as y} {if !!y}
- ·${y.recommendBlogTitle|escape} {/if} {/list}
- {list d as x}
- · {/list}
- {list a as x} {if x_index>4}{break}{/if} {if !!x}
- ${fn1(x.title,60)|escape}${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')} {/if} {/list}
- {if defined('newslist')&&newslist.length>0} {list newslist as x} {if x_index>7}{break}{/if}
- ·${x.title|escape} {/list} {/if}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
评论