前言
咱們都知道,在linux下,「一切皆文件」,所以有時候查看文件的打開狀況,就顯得格外重要,而這裏有一個命令可以在這件事上很好的幫助咱們-它就是lsof。php
linux下有哪些文件
在介紹lsof命令以前,先簡單說一下,linux主要有哪些文件:html
- 普通文件
- 目錄
- 符號連接
- 面向塊的設備文件
- 面向字符的設備文件
- 管道和命名管道
- 套接字
以上各種文件類型很少作詳細介紹。java
lsof命令實用用法介紹
lsof,是list open files的簡稱。它的參數不少,可是咱們這裏只介紹一些實用的用法(注意有些狀況須要root權限執行)。linux
查看當前打開的全部文件
通常來講,直接輸入lsof命令產生的結果實在是太多,可能很難找到咱們須要的信息。不過藉此說明一下一條記錄都有哪些信息。nginx
$ lsof(這裏選取一條記錄顯示)
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
vi 27940 hyb 7u REG 8,15 16384 137573 /home/hyb/.1.txt.swp
lsof顯示的結果,從左往右分別表明:打開該文件的程序名,進程id,用戶,文件描述符,文件類型,設備,大小,iNode號,文件名。web
咱們暫且先關注咱們知道的列。這條記錄,代表進程id爲27940的vi程序,打開了文件描述值爲7,且處於讀寫狀態的,在/home/hyb目錄下的普通文件(REG regular file).1.txt.swap,當前大小16384字節。redis
列出被刪除但佔用空間的文件
在生產環境中,咱們可能會使用df命令看到磁盤空間佔滿了,然而實際上又很難找到佔滿空間的文件,這經常是因爲某個大文件被刪除了,可是它卻被某個進程打開,致使經過普通的方式找不到它的蹤影,最多見的就是日誌文件。咱們能夠經過lsof來發現這樣的文件:shell
$ lsof |grep deleted
Xorg 1131 root 125u REG 0,5 4 61026 /memfd:xshmfence (deleted)
Xorg 1131 root 126u REG 0,5 4 62913 /memfd:xshmfence (deleted)
Xorg 1131 root 129u REG 0,5 4 74609 /memfd:xshmfence (deleted)
能夠看到這些被刪除的但仍然被打開文件,最後查找出來的時候,會被標記deleted。這個時候就能夠根據實際狀況分析,到底哪些文件可能過大可是卻被刪除了,致使空間仍然佔滿。數據庫
恢復打開但被刪除的文件
前面咱們能夠找到被刪除可是仍然被打開的文件,實際上文件並無真正的消失,若是是意外被刪除的,咱們還有手段恢復它。以/var/log/syslog文件爲例,咱們先刪除它(root用戶):ruby
$ rm /var/log/syslog
而後使用lsof查看那個進程打開了該文件:
$ lsof |grep syslog
rs:main 993 1119 syslog 5w REG 8,10 78419 528470 /var/log/syslog (deleted)
能夠找到進程id爲993的進程打開了該文件,咱們知道每一個進程在/proc下都有文件描述符打開的記錄:
$ ls -l /proc/993/fd
lr-x------ 1 root root 64 3月 5 18:30 0 -> /dev/null
l-wx------ 1 root root 64 3月 5 18:30 1 -> /dev/null
l-wx------ 1 root root 64 3月 5 18:30 2 -> /dev/null
lrwx------ 1 root root 64 3月 5 18:30 3 -> socket:[15032]
lr-x------ 1 root root 64 3月 5 18:30 4 -> /proc/kmsg
l-wx------ 1 root root 64 3月 5 18:30 5 -> /var/log/syslog (deleted)
l-wx------ 1 root root 64 3月 5 18:30 6 -> /var/log/auth.log
這裏就找到了被刪除的syslog文件,文件描述符是5,咱們把它重定向出來:
$ cat /proc/993/fd/5 > syslog
$ ls -al /var/log/syslog
-rw-r--r-- 1 root root 78493 3月 5 19:22 /var/log/syslog
這樣咱們就恢復了syslog文件。
查看當前文件被哪些進程打開
Windows下常常遇到要刪除某個文件,而後告訴你某個程序正在使用,然而不告訴你具體是哪一個程序。咱們能夠在資源管理器-性能-資源監視器-cpu-關聯的句柄處搜索文件,便可找到打開該文件的程序,可是搜索速度感人。
linux就比較容易了,使用lsof命令就能夠了,例如要查看當前哪些程序打開了hello.c:
$ lsof hello.c
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
tail 28731 hyb 3r REG 8,15 228 138441 hello.c
可是咱們會發現,使用vi打開的hello.c並無找出來,這是由於vi打開的是一個臨時副本。咱們換一種方式查找:
$ lsof |grep hello.c
tail 28906 hyb 3r REG 8,15 228 138441 /home/hyb/workspaces/c/hello.c
vi 28933 hyb 9u REG 8,15 12288 137573 /home/hyb/workspaces/c/.hello.c.swp
這樣咱們就找到了兩個程序和hello.c文件相關。
這裏grep的做用是從全部結果中只列出符合條件的結果。
查看某個目錄文件被打開狀況
$ lsof +D ./
查看當前進程打開了哪些文件
使用方法:lsof -c 進程名
一般用於程序定位問題,例如用於查看當前進程使用了哪些庫,打開了哪些文件等等。假設有一個循環打印字符的hello程序:
$ lsof -c hello
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
hello 29190 hyb cwd DIR 8,15 4096 134538 /home/hyb/workspaces/c
hello 29190 hyb rtd DIR 8,10 4096 2 /
hello 29190 hyb txt REG 8,15 9816 138314 /home/hyb/workspaces/c/hello
hello 29190 hyb mem REG 8,10 1868984 939763 /lib/x86_64-linux-gnu/libc-2.23.so
hello 29190 hyb mem REG 8,10 162632 926913 /lib/x86_64-linux-gnu/ld-2.23.so
hello 29190 hyb 0u CHR 136,20 0t0 23 /dev/pts/20
hello 29190 hyb 1u CHR 136,20 0t0 23 /dev/pts/20
hello 29190 hyb 2u CHR 136,20 0t0 23 /dev/pts/20
咱們能夠從中看到,至少它用到了/lib/x86_64-linux-gnu/libc-2.23.so以及hello文件。
也能夠經過進程id查看,可跟多個進程id,使用逗號隔開:
$ lsof -p 29190
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
hello 29190 hyb cwd DIR 8,15 4096 134538 /home/hyb/workspaces/c
hello 29190 hyb rtd DIR 8,10 4096 2 /
hello 29190 hyb txt REG 8,15 9816 138314 /home/hyb/workspaces/c/hello
hello 29190 hyb mem REG 8,10 1868984 939763 /lib/x86_64-linux-gnu/libc-2.23.so
hello 29190 hyb mem REG 8,10 162632 926913 /lib/x86_64-linux-gnu/ld-2.23.so
hello 29190 hyb 0u CHR 136,20 0t0 23 /dev/pts/20
hello 29190 hyb 1u CHR 136,20 0t0 23 /dev/pts/20
hello 29190 hyb 2u CHR 136,20 0t0 23 /dev/pts/20
固然這裏還有一種方式,就是利用proc文件系統,首先找到hello進程的進程id
:
$ ps -ef|grep hello
hyb 29190 27929 0 21:14 pts/20 00:00:00 ./hello 2
hyb 29296 28848 0 21:18 pts/22 00:00:00 grep --color=auto hello
能夠看到進程id爲29190,查看該進程文件描述記錄目錄:
$ ls -l /proc/29190/fd
lrwx------ 1 hyb hyb 64 3月 2 21:14 0 -> /dev/pts/20
lrwx------ 1 hyb hyb 64 3月 2 21:14 1 -> /dev/pts/20
lrwx------ 1 hyb hyb 64 3月 2 21:14 2 -> /dev/pts/20
這種方式可以過濾不少信息,由於它只列出了該進程實際打開的,這裏它只打開了1,2,3,即標準輸入,標準輸出和標準錯誤。
查看某個端口被佔用狀況
在使用數據庫或者啓用web服務的時候,總能遇到端口占用問題,那麼怎麼查看某個端口是否被佔用呢?
$ lsof -i :6379
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
redis-ser 29389 hyb 6u IPv6 534612 0t0 TCP *:6379 (LISTEN)
redis-ser 29389 hyb 7u IPv4 534613 0t0 TCP *:6379 (LISTEN)
這裏能夠看到redis-ser進程佔用了6379端口。
查看全部的TCP/UDP鏈接
$ lsof -i tcp
ava 2534 hyb 6u IPv6 31275 0t0 TCP localhost:9614 (LISTEN)
java 2534 hyb 22u IPv6 96922 0t0 TCP localhost:9614->localhost:39004 (ESTABLISHED)
java 2534 hyb 23u IPv6 249588 0t0 TCP localhost:9614->localhost:45460 (ESTABLISHED)
固然咱們也可使用netstat命令。
$ netstat -anp|grep 6379
這裏的-i參數能夠跟多種條件:
- -i 4 #ipv4地址
- -i 6 #ipv6地址
- -i tcp #tcp鏈接
- -i :3306 #端口
- -i @ip #ip地址
所以須要查看與某個ip地址創建的鏈接時,可使用下面的方式:
$ lsof -i@127.0.0.1
查看某個用戶打開了哪些文件
linux是一個多用戶操做系統,怎麼知道其餘普通用戶打開了哪些文件呢?可以使用-u參數
$ lsof -u hyb
(內容太多,省略)
列出除了某個進程或某個用戶打開的文件
實際上和前面使用方法相似,只不過,在進程id前面或者用戶名前面加^,例如:
lsof -p ^1 #列出除進程id爲1的進程之外打開的文件
lsof -u ^root #列出除root用戶之外打開的文件
總結
最新內容地址:https://www.yanbinghu.com/2019/03/05/61180.html