linux lsof詳解和 too many open files

lsof（list open files）是一個列出當前系統打開文件的工具。在linux環境下，任何事物都以文件的形式存在，經過文件不只僅能夠訪問常規數據，還能夠訪問網絡鏈接和硬件。因此如傳輸控制協議 (TCP) 和用戶數據報協議 (UDP) 套接字等，系統在後臺都爲該應用程序分配了一個文件描述符，不管這個文件的本質如何，該文件描述符爲應用程序與基礎操做系統之間的交互提供了通用接口。由於應用程序打開文件的描述符列表提供了大量關於這個應用程序自己的信息，所以經過lsof工具可以查看這個列表對系統監測以及排錯將是頗有幫助的。

lsof打開的文件能夠是：

1. 普通文件
2. 目錄
3. 網絡文件系統的文件
4. 字符或設備文件
5. (函數)共享庫
6. 管道，命名管道
7. 符號連接
8. 網絡文件（例如：NFS file、網絡socket，unix域名socket）
9. 還有其它類型的文件，等等

lsof命令參數

• -a 列出打開文件存在的進程
• -c<進程名> 列出指定進程所打開的文件
• -g 列出GID號進程詳情
• -d<文件號> 列出佔用該文件號的進程
• +d<目錄> 列出目錄下被打開的文件
• +D<目錄> 遞歸列出目錄下被打開的文件
• -n<目錄> 列出使用NFS的文件
• -i<條件> 列出符合條件的進程。（四、六、協議、:端口、 @ip ）
• -p<進程號> 列出指定進程號所打開的文件
• -u 列出UID號進程詳情
• -h 顯示幫助信息
• -v 顯示版本信息

COMMAND   PID USER   FD   TYPE    DEVICE SIZE/OFF    NODE NAME
php              13551  aa  cwd    DIR      8,65     4096 6296021 /home/aa/
php              13551  aa  rtd    DIR       8,2     4096       2 /
php              13551  aa  txt    REG      8,65 26185234 6296097 /home/aa/Lib/php-5.6.7/bin/php
php              13551  aa  mem    REG       8,2    17256 2050338 /lib64/libcom_err.so.2.1
php              13551  aa  mem    REG       8,2   272360 2050193 /lib64/libgssapi_krb5.so.2.2

lsof輸出各列信息的意義以下：

• COMMAND：進程的名稱

• PID：進程標識符

• USER：進程全部者

• PGID：進程所屬組

• FD：文件描述符，應用程序經過文件描述符識別該文件。如cwd、txt等:

• TYPE：文件類型，如DIR、REG等

• DEVICE：指定磁盤的名稱

• SIZE：文件的大小

• NODE：索引節點（文件在磁盤上的標識）

• NAME：打開文件的確切名稱

（1）cwd：表示current work dirctory，即：應用程序的當前工做目錄，這是該應用程序啓動的目錄，除非它自己對這個目錄進行更改
（2）txt ：該類型的文件是程序代碼，如應用程序二進制文件自己或共享庫
（3）lnn：library references (AIX);
（4）er：FD information error (see NAME column);
（5）jld：jail directory (FreeBSD);
（6）ltx：shared library text (code and data);
（7）mxx ：hex memory-mapped type number xx.
（8）m86：DOS Merge mapped file;
（9）mem：memory-mapped file;
（10）mmap：memory-mapped device;
（11）pd：parent directory;
（12）rtd：root directory;
（13）tr：kernel trace file (OpenBSD);
（14）v86  VP/ix mapped file;
（15）0：表示標準輸入
（16）1：表示標準輸出
（17）2：表示標準錯誤
通常在標準輸出、標準錯誤、標準輸入後還跟着文件狀態模式：r、w、u等
（1）u：表示該文件被打開並處於讀取/寫入模式
（2）r：表示該文件被打開並處於只讀模式
（3）w：表示該文件被打開並處於
（4）空格：表示該文件的狀態模式爲unknow，且沒有鎖定
（5）-：表示該文件的狀態模式爲unknow，且被鎖定
同時在文件狀態模式後面，還跟着相關的鎖
（1）N：for a Solaris NFS lock of unknown type;
（2）r：for read lock on part of the file;
（3）R：for a read lock on the entire file;
（4）w：for a write lock on part of the file;（文件的部分寫鎖）
（5）W：for a write lock on the entire file;（整個文件的寫鎖）
（6）u：for a read and write lock of any length;
（7）U：for a lock of unknown type;
（8）x：for an SCO OpenServer Xenix lock on part of the file;
（9）X：for an SCO OpenServer Xenix lock on the entire file;
（10）space：if there is no lock.

其中FD 列中的文件描述符cwd 值表示應用程序的當前工做目錄，這是該應用程序啓動的目錄，除非它自己對這個目錄進行更改。txt 類型的文件是程序代碼，如應用程序二進制文件自己或共享庫，如上列表中顯示的 /home/aa/Lib/php-5.6.7/bin/php程序。其次數值表示應用程序的文件描述符，這是打開該文件時返回的一個整數，10u 表示該文件被打開並處於讀取/寫入模式，而不是隻讀 ® 或只寫 (w) 模式。同時還有大寫 的W 表示該應用程序具備對整個文件的寫鎖。該文件描述符用於確保每次只能打開一個應用程序實例。初始打開每一個應用程序時，都具備三個文件描述符，從 0 到 2，分別表示標準輸入、輸出和錯誤流。因此大多數應用程序所打開的文件的 FD 都是從 3 開始。 與 FD 列相比，Type 列則比較直觀。文件和目錄分別稱爲 REG 和 DIR。而CHR 和 BLK，分別表示字符和塊設備；或者 UNIX、FIFO 和 IPv4，分別表示 UNIX 域套接字、先進先出 (FIFO) 隊列和網際協議 (IP) 套接字。

例如，linux限制了進程可以打開文件的數目。在須要時，應用程序能夠請求更大的值（直到某個上限）。若是你懷疑應用程序耗盡了文件描述符，那麼可使用 lsof 統計打開的文件數目，以進行驗證。

使用實例：

一、在卸載文件系統時，若是該文件系統中有任何打開的文件，操做一般將會失敗。那麼經過lsof能夠找出那些進程在使用當前要卸載的文件系統，以下：lsof /GTES11/

二、當Linux計算機受到入侵時，常見的狀況是日誌文件被刪除，以掩蓋攻擊者的蹤影。管理錯誤也可能致使意外刪除重要的文件，好比在清理舊日誌時，意外地刪除了數據庫的活動事務日誌。有時能夠經過lsof來恢復這些文件。

當進程打開了某個文件時，只要該進程保持打開該文件，即便將其刪除，它依然存在於磁盤中。這意味着，進程並不知道文件已經被刪除，它仍然能夠向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程以外，這個文件是不可見的，由於已經刪除了其相應的目錄索引節點。

在/proc 目錄下，其中包含了反映內核和進程樹的各類文件。/proc目錄掛載的是在內存中所映射的一塊區域，因此這些文件和目錄並不存在於磁盤中，所以當咱們對這些文件進行讀取和寫入時，其實是在從內存中獲取相關信息。大多數與 lsof 相關的信息都存儲於以進程的 PID 命名的目錄中，即 /proc/1234 中包含的是 PID 爲 1234 的進程的信息。每一個進程目錄中存在着各類文件，它們可使得應用程序簡單地瞭解進程的內存空間、文件描述符列表、指向磁盤上的文件的符號連接和其餘系統信息。lsof 程序使用該信息和其餘關於內核內部狀態的信息來產生其輸出。因此lsof 能夠顯示進程的文件描述符和相關的文件名等信息。也就是咱們經過訪問進程的文件描述符能夠找到該文件的相關信息。

當系統中的某個文件被意外地刪除了，只要這個時候系統中還有進程正在訪問該文件，那麼咱們就能夠經過lsof從/proc目錄下恢復該文件的內容。 假如因爲誤操做將/var/log/messages文件刪除掉了，那麼這時要將/var/log/messages文件恢復的方法以下：

首先使用lsof來查看當前是否有進程打開/var/logmessages文件，以下：

# lsof |grep /var/log/messages

syslogd 1283 root 2w REG 3,3 5381017 1773647

/var/log/messages (deleted)

從上面的信息能夠看到 PID 1283（syslogd）打開文件的文件描述符爲 2。同時還能夠看到/var/log/messages已經標記被刪除了。所以咱們能夠在 /proc/1283/fd/2 （fd下的每一個以數字命名的文件表示進程對應的文件描述符）中查看相應的信息，以下：

# head -n 10 /proc/1283/fd/2

Aug  4 13:50:15 holmes86 syslogd 1.4.1: restart.
Aug  4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started.
Aug  4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 (root@everestbuilder.linux-ren.org) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007
Aug  4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map:
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 0000000000000000 - 000000000009f000 (usable)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable)

從上面的信息能夠看出，查看 /proc/1283/fd/2 就能夠獲得所要恢復的數據。若是能夠經過文件描述符查看相應的數據，那麼就可使用 I/O 重定向將其複製到文件中，如:

 cat /proc/1283/fd/2 > /var/log/messages

對於許多應用程序，尤爲是日誌文件和數據庫，這種恢復刪除文件的方法很是有用。

too many open files

Linux系統默認最大打開文件數爲1024個。

一、相關命令：

ulimit –a //查看當前設置

core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 1031578
max locked memory       (kbytes, -l) 64
max memory size         (kbytes, -m) unlimited
open files                      (-n) 65536
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 10240
cpu time               (seconds, -t) unlimited
max user processes              (-u) 30720
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

ulimit –n 2048 //即設成2048，按實際須要設置

二、用戶環境參數文件配置：
在/etc/profile中加入以下內容：

if [ $SHELL = "/bin/ksh" ]; then 
ulimit -p 16384 ulimit -n 65536 
else 
ulimit -u 16384 -n 65536 
fi