linux lsof 命令参数详解（查看进程打开的文件）

来源：http://blog.chinaunix.net/uid-20731447-id-1883741.html
分类： LINUX
lsof简介
lsof（list open files）是一个列出当前系统打开文件的工具。在linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接 和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等，系统在后台都为该应用程序分配了一个文件描述符，无论这个文件的本质如何，该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因 为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息，因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。
参数：
-a     列出打开文件存在的进程
-c<进程名> 列出指定进程所打开的文件
-g 列出GID号进程详情
-d<文件号> 列出占用该文件号的进程
+d<目录> 列出目录下被打开的文件
+D<目录> 递归列出目录下被打开的文件
-n<目录> 列出使用NFS的文件
-i<条件> 列出符合条件的进程。（4、6、协议、:端口、 @ip ）
-p<进程号> 列出指定进程号所打开的文件
-u 列出UID号进程详情
-h 显示帮助信息
-v 显示版本信息
总结一下lsof指令的用法：
lsof abc.txt 显示开启文件abc.txt的进程
lsof -i :22 知道22端口现在运行什么程序
lsof -c abc 显示abc进程现在打开的文件
lsof -g gid 显示归属gid的进程情况
lsof +d /usr/local/ 显示目录下被进程开启的文件
lsof +D /usr/local/ 同上，但是会搜索目录下的目录，时间较长
lsof -d 4 显示使用fd为4的进程
lsof -i 用以显示符合条件的进程情况
语法: lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
46 --> IPv4 or IPv6
protocol --> TCP or UDP
hostname --> Internet host name
hostaddr --> IPv4位置
service --> /etc/service中的 service name (可以不只一个)
port --> 端口号 (可以不只一个)
例子: TCP:25 - TCP and port 25
@1.2.3.4 - Internet IPv4 host address 1.2.3.4
tcp@ohaha.ks.edu.tw:ftp - TCP protocol hosthaha.ks.edu.tw service name:ftp
lsof -n 不将IP转换为hostname，缺省是不加上-n参数
例子: lsof -i tcp@ohaha.ks.edu.tw:ftp -n
lsof -p 12 看进程号为12的进程打开了哪些文件
lsof +|-r [t] 控制lsof不断重复执行，缺省是15s刷新
-r，lsof会永远不断的执行，直到收到中断信号
+r，lsof会一直执行，直到没有档案被显示
例子：不断查看目前ftp连接的情况：lsof -i tcp@ohaha.ks.edu.tw:ftp -r
lsof -s 列出打开文件的大小，如果没有大小，则留下空白
lsof -u username 以UID，列出打开的文件
 
一般root用户才能执行lsof命令，普通用户可以看见/usr/sbin/lsof命令，但是普通用户执行会显示“permission denied”

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

Linux下查看进程打开的文件与打开文件的进程


来源：http://www.linuxidc.com/Linux/2011-03/33224.htm
有许多情况下，我们需要查看一个进程当前打开了哪些文件，反过来我们也希望知道某一个文件正在被哪些进程所读写。在Linux下有许多有用的工具可以帮我们完成这两个工作，下面介绍这两个工具：lsof与fuser。
    fuser find files or sockets' user
    格式：fuser [选项] fname
    -k 如果找到打开文件的进程，则发送SIGKILL杀死此进程，通过-i选项，可以为用户提供交互选择
    -signal 用户可以指定使用何种信号去kill进程，如果-k参数指定，则忽略此参数
    -m 如果指定一个文件，则所有访问那个文件所在文件系统的进程都会被列出来
    -n  type 指定不同的文件类型，默认类型为file，此外还支持tcp和udp类型，此时可以简写作port/tcp
    -u  显示进程属主
    -v  显示详细进程与打开文件信息
    -4/-6 只搜索IPv4/IPv6套接字
    例如，我们想查看端口TCP端口9000由哪个进程打开 fuser -v -u 9000/tcp
             查看哪些进程在访问/home挂载分区              fuser -mv /home
    lsof list open file
    格式：lsof  [选项] [names]
    单独执行lsof将输出系统中所有打开的文件，我们可以grep过滤出我们关心的内容，不过lsof提供了相应的参数帮助我们精确查找
    lsof name 将输出所有使用文件name的进程
    -p pid 列出进程pid所打开的所有文件
    -d FD_pattern 列出所有已经打开的FD值为FD_pattern的文件FD的值有整数，TXT,MEM等等
    -a lsof后可以加多个匹配条件，默认为or连接，此参数将多个条件变成and关系
    -i [46] [proto] [@hostname|ip][:service|port] 用来选择占用某个端口的进程
    +d/+D dir 非递归或递归的显示打开dir下文件的进程
    -c string   显示进程的command中包含string的进程所打开的文件
    -u username 显示属于user的进程所打开的文件
    -g gid
     以上这些参数已经足够用了，上面这两个工具都是读取/proc文件系统中的数据进行工作的。网上有提到借助于lsof的查找功能，可以对一个删除的文件进行恢复，前提是占用这个文件的进程当前还没有关闭。通过被删除的文件，找到对应的进程及在进程中的fd-num，然后通过cat /proc/process-num/fd/fd-num即可恢复被删除的文件。