lsof命令

一、lsof命令
lsof命令用于查看你进程开打的文件，打开文件的进程，进程打开的端口(TCP、UDP)。找回/恢复删除的文件。是十分方便的系统监视工具，因为lsof命令需要访问核心内存和各种文件，所以需要root用户执行。
在linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等，系统在后台都为该应用程序分配了一个文件描述符，无论这个文件的本质如何，该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息，因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。

1.1 语法

lsof(选项)
1
1.2 选项

选项    描述
-a    列出打开文件存在的进程；
-c<进程名>    列出指定进程所打开的文件；
-g    列出GID号进程详情；
-d<文件号>    列出占用该文件号的进程；
+d<目录>    列出目录下被打开的文件；
+D<目录>    递归列出目录下被打开的文件；
-n<目录>    列出使用NFS的文件；
-i<条件>    列出符合条件的进程。（4、6、协议、:端口、 @ip ）
-p<进程号>    列出指定进程号所打开的文件；
-u    列出UID号进程详情；
-h    显示帮助信息；
-v    显示版本信息。
二、示列
2.1 列出所有打开的文件

[root@localhost~]# lsof
command     PID USER   FD      type             DEVICE     SIZE       NODE NAME
init          1 root  cwd       DIR                8,2     4096          2 /
init          1 root  rtd       DIR                8,2     4096          2 /
init          1 root  mem       REG                8,2  1722304    7823915 /lib64/libc-2.5.so
migration     2 root  cwd       DIR                8,2     4096          2 /
migration     2 root  txt   unknown                                        /proc/2/exe
ksoftirqd     3 root  cwd       DIR                8,2     4096          2 /

2.1.1 lsof输出各列信息的意义如下

COMMAND：进程的名称
PID：进程标识符
PPID：父进程标识符（需要指定-R参数）
USER：进程所有者
PGID：进程所属组
FD：文件描述符，应用程序通过文件描述符识别该文件。
DEVICE：指定磁盘的名称
SIZE：文件的大小
NODE：索引节点（文件在磁盘上的标识）
NAME：打开文件的确切名称
FD文件描述符列表

cwd：表示current work dirctory，即：应用程序的当前工作目录，这是该应用程序启动的目录，除非它本身对这个目录进行更改
txt：该类型的文件是程序代码，如应用程序二进制文件本身或共享库，如上列表中显示的 /sbin/init 程序
lnn：library references (AIX)（库引用）;
er：FD information error (see NAME column)（fd信息错误）;
jld：jail directory (FreeBSD)（监控目录）;
ltx：shared library text (code and data)（共享库文本）;
mxx ：hex memory-mapped type number xx（十六进制内存映射类型号xx）；
m86：DOS Merge mapped file(DOS合并映射文件);
mem：memory-mapped file(内存映射文件);
mmap：memory-mapped device（内存映射设备）;
pd：parent directory（父目录）;
rtd：root directory（跟目录）;
tr：kernel trace file (OpenBSD)（内核跟踪文件）;
v86 VP/ix mapped file（VP/IX映射文件）;
0：表示标准输出
1：表示标准输入
2：表示标准错误
一般在标准输出、标准错误、标准输入后还跟着文件状态模式：

u：表示该文件被打开并处于读取/写入模式。
r：表示该文件被打开并处于只读模式。
w：表示该文件被打开并处于。
空格：表示该文件的状态模式为unknow，且没有锁定。
-：表示该文件的状态模式为unknow，且被锁定。
同时在文件状态模式后面，还跟着相关的锁：

N：for a Solaris NFS lock of unknown type(对于未知类型的Solaris NFS锁);
r：for read lock on part of the file(用于对文件的一部分进行读取锁定);
R：for a read lock on the entire file(整个文件的读取锁定);
w：for a write lock on part of the file;（文件的部分写锁）
W：for a write lock on the entire file;（整个文件的写锁）
u：for a read and write lock of any length(对于任意长度的读写锁);
U：for a lock of unknown type(对于未知类型的锁);
x：for an SCO OpenServer Xenix lock on part of the file(对于文件的sco openserver xenix锁);
X：for an SCO OpenServer Xenix lock on the entire file(对于整个文件的sco openserver xenix锁);
space：if there is no lock(如果没有锁).
2.1.2 文件类型：

DIR：表示目录。
CHR：表示字符类型。
BLK：块设备类型。
UNIX： UNIX 域套接字。
FIFO：先进先出 (FIFO) 队列。
IPv4：网际协议 (IP) 套接字。
DEVICE：指定磁盘的名称
SIZE：文件的大小
NODE：索引节点（文件在磁盘上的标识）
NAME：打开文件的确切名称
2.2 常用方式
 

#列出所有打开的文件:
lsof
备注: 如果不加任何参数，就会打开所有被打开的文件，建议加上一下参数来具体定位

# 查看谁正在使用某个文件
lsof   /filepath/file

#递归查看某个目录的文件信息
lsof +D /filepath/filepath2/
备注: 使用了+D，对应目录下的所有子目录和文件都会被列出

# 比使用+D选项，遍历查看某个目录的所有文件信息 的方法
lsof | grep ‘/filepath/filepath2/’

# 列出某个用户打开的文件信息
lsof  -u username
备注: -u 选项，u其实是user的缩写

# 列出某个程序所打开的文件信息
lsof -c mysql
备注: -c 选项将会列出所有以mysql开头的程序的文件，其实你也可以写成lsof | grep mysql,但是第一种方法明显比第二种方法要少打几个字符了

# 列出多个程序多打开的文件信息
lsof -c mysql -c apache

# 列出某个用户以及某个程序所打开的文件信息
lsof -u test -c mysql

# 列出除了某个用户外的被打开的文件信息
lsof   -u ^root
备注：^这个符号在用户名之前，将会把是root用户打开的进程不让显示

# 通过某个进程号显示该进行打开的文件
lsof -p 1

# 列出多个进程号对应的文件信息
lsof -p 123,456,789

# 列出除了某个进程号，其他进程号所打开的文件信息
lsof -p ^1

# 列出所有的网络连接
lsof -i

# 列出所有tcp 网络连接信息
lsof  -i tcp

# 列出所有udp网络连接信息
lsof  -i udp

# 列出谁在使用某个端口
lsof -i :3306

# 列出谁在使用某个特定的udp端口
lsof -i udp:55

# 特定的tcp端口
lsof -i tcp:80

# 列出某个用户的所有活跃的网络端口
lsof  -a -u test -i

# 列出所有网络文件系统
lsof -N

#域名socket文件
lsof -u

#某个用户组所打开的文件信息
lsof -g 5555

# 根据文件描述列出对应的文件信息
lsof -d description(like 2)

# 根据文件描述范围列出文件信息
lsof -d 2-3

原文链接：https://blog.csdn.net/qq_27870421/article/details/92803453