前面我們可以找到被刪除但是仍然被打開的文件,實際上文件并沒有真正的消失,如果是意外被刪除的,我們還有手段恢復它。以/var/log/syslog文件為例,我們先刪除它(root用戶):
$ rm /var/log/syslog
然后使用lsof查看那個進程打開了該文件:
$ lsof |grep syslog rs:main 993 1119 syslog 5w REG 8,10 78419 528470 /var/log/syslog (deleted)
可以找到進程id為993的進程打開了該文件,我們知道每個進程在/proc下都有文件描述符打開的記錄:
$ ls -l /proc/993/fd lr-x------ 1 root root 64 3月 5 18:30 0 -> /dev/null l-wx------ 1 root root 64 3月 5 18:30 1 -> /dev/null l-wx------ 1 root root 64 3月 5 18:30 2 -> /dev/null lrwx------ 1 root root 64 3月 5 18:30 3 -> socket:[15032] lr-x------ 1 root root 64 3月 5 18:30 4 -> /proc/kmsg l-wx------ 1 root root 64 3月 5 18:30 5 -> /var/log/syslog (deleted) l-wx------ 1 root root 64 3月 5 18:30 6 -> /var/log/auth.log
這里就找到了被刪除的syslog文件,文件描述符是5,我們把它重定向出來:
$ cat /proc/993/fd/5 > syslog $ ls -al /var/log/syslog -rw-r--r-- 1 root root 78493 3月 5 19:22 /var/log/syslog
這樣我們就恢復了syslog文件。
查看當前文件被哪些進程打開
Windows下經常遇到要刪除某個文件,然后告訴你某個程序正在使用,然而不告訴你具體是哪個程序。我們可以在資源管理器-性能-資源監視器-cpu-關聯的句柄處搜索文件,即可找到打開該文件的程序,但是搜索速度感人。
linux就比較容易了,使用lsof命令就可以了,例如要查看當前哪些程序打開了hello.c:
$ lsof hello.c COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME tail 28731 hyb 3r REG 8,15 228 138441 hello.c
但是我們會發現,使用vi打開的hello.c并沒有找出來,這是因為vi打開的是一個臨時副本。我們換一種方式查找:
$ lsof |grep hello.c tail 28906 hyb 3r REG 8,15 228 138441 /home/hyb/workspaces/c/hello.c vi 28933 hyb 9u REG 8,15 12288 137573 /home/hyb/workspaces/c/.hello.c.swp
這樣我們就找到了兩個程序和hello.c文件相關。
這里grep的作用是從所有結果中只列出符合條件的結果。
查看某個目錄文件被打開情況
$ lsof +D ./
查看當前進程打開了哪些文件
使用方法:lsof -c 進程名
通常用于程序定位問題,例如用于查看當前進程使用了哪些庫,打開了哪些文件等等。假設有一個循環打印字符的hello程序:
$ lsof -c hello COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME hello 29190 hyb cwd DIR 8,15 4096 134538 /home/hyb/workspaces/c hello 29190 hyb rtd DIR 8,10 4096 2 / hello 29190 hyb txt REG 8,15 9816 138314 /home/hyb/workspaces/c/hello hello 29190 hyb mem REG 8,10 1868984 939763 /lib/x86_64-linux-gnu/libc-2.23.so hello 29190 hyb mem REG 8,10 162632 926913 /lib/x86_64-linux-gnu/ld-2.23.so hello 29190 hyb 0u CHR 136,20 0t0 23 /dev/pts/20 hello 29190 hyb 1u CHR 136,20 0t0 23 /dev/pts/20 hello 29190 hyb 2u CHR 136,20 0t0 23 /dev/pts/20
我們可以從中看到,至少它用到了/lib/x86_64-linux-gnu/libc-2.23.so以及hello文件。
也可以通過進程id查看,可跟多個進程id,使用逗號隔開:
$ lsof -p 29190 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME hello 29190 hyb cwd DIR 8,15 4096 134538 /home/hyb/workspaces/c hello 29190 hyb rtd DIR 8,10 4096 2 / hello 29190 hyb txt REG 8,15 9816 138314 /home/hyb/workspaces/c/hello hello 29190 hyb mem REG 8,10 1868984 939763 /lib/x86_64-linux-gnu/libc-2.23.so hello 29190 hyb mem REG 8,10 162632 926913 /lib/x86_64-linux-gnu/ld-2.23.so hello 29190 hyb 0u CHR 136,20 0t0 23 /dev/pts/20 hello 29190 hyb 1u CHR 136,20 0t0 23 /dev/pts/20 hello 29190 hyb 2u CHR 136,20 0t0 23 /dev/pts/20
當然這里還有一種方式,就是利用proc文件系統,首先找到hello進程的進程id:
$ ps -ef|grep hello hyb 29190 27929 0 21:14 pts/20 00:00:00 ./hello 2 hyb 29296 28848 0 21:18 pts/22 00:00:00 grep --color=auto hello
可以看到進程id為29190,查看該進程文件描述記錄目錄:
$ ls -l /proc/29190/fd lrwx------ 1 hyb hyb 64 3月 2 21:14 0 -> /dev/pts/20 lrwx------ 1 hyb hyb 64 3月 2 21:14 1 -> /dev/pts/20 lrwx------ 1 hyb hyb 64 3月 2 21:14 2 -> /dev/pts/20
這種方式能夠過濾很多信息,因為它只列出了該進程實際打開的,這里它只打開了0,1,2,即標準輸入,標準輸出和標準錯誤。
查看某個端口被占用情況
在使用數據庫或者啟用web服務的時候,總能遇到端口占用問題,那么怎么查看某個端口是否被占用呢?
$ lsof -i :6379 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME redis-ser 29389 hyb 6u IPv6 534612 0t0 TCP *:6379 (LISTEN) redis-ser 29389 hyb 7u IPv4 534613 0t0 TCP *:6379 (LISTEN)
這里可以看到redis-ser進程占用了6379端口。
查看所有的TCP/UDP連接
$ lsof -i tcp ava 2534 hyb 6u IPv6 31275 0t0 TCP localhost:9614 (LISTEN) java 2534 hyb 22u IPv6 96922 0t0 TCP localhost:9614->localhost:39004 (ESTABLISHED) java 2534 hyb 23u IPv6 249588 0t0 TCP localhost:9614->localhost:45460 (ESTABLISHED)
當然我們也可以使用netstat命令。
$ netstat -anp|grep 6379
這里的-i參數可以跟多種條件:
因此需要查看與某個ip地址建立的連接時,可以使用下面的方式:
$ lsof -i@127.0.0.1
查看某個用戶打開了哪些文件
linux是一個多用戶操作系統,怎么知道其他普通用戶打開了哪些文件呢?可使用-u參數
$ lsof -u hyb (內容太多,省略)
列出除了某個進程或某個用戶打開的文件
實際上和前面使用方法類似,只不過,在進程id前面或者用戶名前面加^,例如:
lsof -p ^1 #列出除進程id為1的進程以外打開的文件 lsof -u ^root #列出除root用戶以外打開的文件
總結
以上介紹基于一個條件,實際上多個條件可以組合,例如列出進程id為1的進程打開的tcp套接字文件:
lsof -p 1 -i tcp
lsof參數很多,具體的可以使用man命令查看,但是對于我們來說,知道這些實用的基本足夠。