lsof系统诊断工具

lsof命令：
    lsof 是 linux 下的一个非常实用的系统级的监控、诊断工具，它是 List Open Files的缩写。
    使用 lsof，你可以获取任何被打开文件的各种信息，因为 lsof 需要访问核心内存和各种文件，所以必须以 root 用户的身份运行它才能够充分地发挥其功能。

选项：

    -a选项：列出打开文件存在的进程

    -b选项：这个选项使lsof避免可能阻塞的内核函数

    -c选项：
        使用格式"-c <进程名>"
        列出指定进程所打开的文件

    +c选项：
        使用格式"+c <整数>"
        定义UNIX命令最大初始字符数，与UNIX命令关联进程被打印在COMMAND列

    -C选项：粗选项禁止从内核名称缓存报告任何路径名组件。

    -g选项：列出gid号进程详情

    -d选项：
        格式"-d 值或者一组值"
        此选项指定要从输出列表中排除或包含的文件描述符（FD）列表。多个选项用逗号分隔，例如：“cwd,1,3”，“^6,^2”

    +d选项：
        格式"+d <目录>"
        此选项使lsof搜索指定目录的所有打开实例及其顶层包含的文件和目录。

    +D选项：
        格式"+D <目录>"
        递归列出目录下被打开的文件

    -D选项：
        格式"-D 参数值"
        此选项指导lsof使用设备缓存文件。此选项的使用有时受到限制。
        参数值可以使 ? , b , r , u , i 
        b 创建设备缓存文件；i 忽略设备缓存文件；u 读取并更新设备缓存文件；？ 输出设备缓存文件路径。

    +f或 -f选项：
        f选项身阐明了如何解释路径名参数。
        在任何组合中后面跟c、f、g、G或n时，它指定内核文件结构信息的列表为启用（“+”）或禁用（“-”）。

    -F选项：
        格式"-F 字符列表"
        此选项指定了一个字符列表，用于选择要输出的字段，以便通过另一个程序和终止每个输出字段的字符。要输出的每个字段是在f中用单个字符指定。
        字段终止符默认为NL，但可以更改至NUL（000）。

    -n选项：
        格式"-n <目录>"
        列出使用nfs的文件

    -i选项：
        格式"-i <条件>"
        列出符合条件的进程

    -p选项：
        格式"-p <进程号>"
        列出进程号所打开的文件

    -u选项：
        列出uid号进程详情

    -h选项：显示帮助信息

    -v选项：显示版本信息

    +e或-e 选项: 
        格式"-e s",(s是一个路径名)；免除路径名为s的文件系统受到可能会阻塞的内核函数调用的影响。
        +e选项免除stat（2）、lstat（2）和大多数readlink（2）内核函数调用。-e选项仅免除stat（2）和lstat（2”）内核函数调用。

    +E或-E 选项:
        +E指定Linux管道和Linux UNIX套接字文件应显示端点信息，并且还应显示端点的文件。注意：只有当-v输出的编译标志行包含HASUXSOCKEPT时，UNIX套接字文件端点信息才可用。

        -E指定Linux管道和Linux UNIX套接字文件应显示端点信息，而不是端点的文件。

    -l选项：禁止将用户ID号转换为登录名。当登录名查找工作不正常或缓慢时，它也很有用

    -L或+L 选项：启用（“+”）或禁用（“-”）可用的文件链接计数列表，例如，它们不适用于套接字或大多数FIFO和管道。

    +m或-m 选项：
        格式"-m m"指定备用内核内存文件或激活装载表补充处理。
        选项格式-m m指定一个内核内存文件m，代替/dev/kmem或/dev/mem，例如，一个崩溃转储文件。
        选项表单+m要求将装载补充文件写入标准输出文件。所有其他选项都会自动忽略。

    +M或-M 选项：
        启用（+）或禁用（-）本地TCP、UDP和UDPLITE端口的端口映射器注册报告，其中支持端口映射。
        端口映射器报告在默认情况下是禁用的，必须使用+M进行请求。

    -N选项：选择NFS文件列表。

    -o选项：指示lsof始终显示文件偏移量。它使SIZE/OFF输出列标题更改为OFFSET。

    -O选项：
        指导lsof绕过它用来避免被某些内核操作阻塞的策略，即在分叉子进程中执行这些操作。
        使用-c，-p，-g，-s选项时使用“^”取相反结果

    +r或-r 选项：
        将lsof置于重复模式。其中，lsof列出了由其他选项选择的打开文件，延迟t秒，然后重复列出，延迟和重复列出，直到由选项前缀定义的条件停止。
        如果前缀是“-”，则重复模式是无止境的。Lsof必须用中断或退出信号终止。
        如果前缀为“+”，则重复模式将结束第一个循环，不会列出打开的文件，当然，当lsof因中断或退出信号而停止时也是如此。

    -R选项：指示lsof在PPID列中列出父进程ID标识号。

    例1：查看sftp使用的文件

    lsof -c sftp

        输出结果简要说明：

        COMMAND：进程名

        PID:进程ID

        TID：线程ID

        USER：所属用户

        FD：文件描述符。可能的值为“cwd  当前工作目录”，“rtd  root目录”，“txt txt文件”，“mem 内存映射文件”，“err 文件描述符信息错误”，“jld jail 目录（FreeBSD）”，“Lnn 库文件相关（AIX）”，“Mxx 十六进制内存映射类型值”，“m86 DOS合并映射文件”，“mmap 内存映射设备”，“pd 父目录”，“v86 vp/ix 映射文件”，“- 未知的或者被锁定的符号”，“tr 内核跟踪文件（OpenBSD）”

        TYPE：与文件关联的node类型。可能的值为“DIR 目录”，“REG 普通文件”，“CHR 字符”，“FIFO 管道通讯特殊文件”，“LINK 符号链接文件”，“unix UNIX域socket文件”，“inet 互利联网域套接字文件”，“IPv4 IPv4套接字文件”，“IPv6 IPv6套接字文件”，“DEL 被删除的文件的linux映射文件”，“DOOR VDOOR文件”，“KQUEUE BSD类型内核事件队列文件”等等。

        DEVICE：设备编号，用逗号分割，用于特殊字符、特殊块、常规文件、目录和NFS文件

        SIZE/OFF：文件大小以及文件偏移量

        NODE：本地文件node编号

        NAME：文件系统挂载点名称

    例2：查看php-fpm进程现在打开的文件

        lsof -c php-fpm

    例3：列出进程id为1328的进程所打开的文件

        lsof -p 1328

    例4：显示所有在/tmp目录下打开的文件进程

        lsof +D /tmp

    例5：查看uid是1000的用户的进程的文件使用情况
        
        lsof -u 1000

    例6：显示FD为4的进程

        lsof -d 4

    例7：显示ipv4协议相关的进程情况

        lsof -l 4

    例8：显示不是root账户的进程的文件使用 情况

        lsof -u^root 

    例9：查看80端口被那个进程占用

        lsof -i:80

    例10：查看所有打开的端口和UNIX domain文件

        lsof -i -U

    例11：查看谁在使用文件系统

        lsof  挂在文件系统的目录名

    例12：恢复删除的文件

        命令lsof |grep 删除的文件名称，获得PID(syslogd)打开文件的描述符为.如果出现deleted，那么就是标注为已经删除。

        然后可以使用cat命令查看 /proc/pid号/fd/文件描述符 内容。如果能查看导数据，那么就可以通过I/O重定向将其复制到文件中，例如： cat /proc/pid号/fd/文件描述符 > 文件名