lsof全名list openedfiles,也就是列举系统中已经被打开的文件。我们都知道,linux环境中,任何事物都是文件,设备是文件,目录是文件,甚至sockets也是文件。所以,用好lsof命令,对日常的linux管理非常有帮助。以下的说明,大部分内容来自lsof的manual文档。我所做的只是在中文翻译的基础上,进行简单的分类说明,并列举最常用的参数。
51Testing软件测试网:}#T$p�a$i�K�H一、输出说明
�E�f+U�g4o0 lsof是linux最常用的命令之一,通常的输出格式为:
)P6R%b"M%x�{5I0引用
�b�y(j6_4W�O�V0COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
51Testing软件测试网�X3e�@8t�@ p&k$j�h2_8V常见包括如下几个字段:更多的可见manual。
9y%_�N�e.d�O'Z�Z01、COMMAND
Q�k9u9C4`�u,U j0默认以9个字符长度显示的命令名称。可使用+c参数指定显示的宽度,若+c后跟的参数为零,则显示命令的全名
:Z�I;l;Y&@;]:{�T8i02、PID:进程的ID号
51Testing软件测试网0s*w�C�[*j)L T�U�q({3、PPID
�W/U�t�X5u7i�~0父进程的IP号,默认不显示,当使用-R参数可打开。
51Testing软件测试网�p1G8E�k5R._ P4、PGID
9O�W"k�l;F"b�w
z0进程组的ID编号,默认也不会显示,当使用-g参数时可打开。
51Testing软件测试网 c'W1J*a�?�u(m�~/_�G5、USER
�H�p6\3i
K�h�]2\)W0命令的执行UID或系统中登陆的用户名称。默认显示为用户名,当使用-l参数时,可显示UID。
51Testing软件测试网�q$z:`7m
Y�?�a6、FD
51Testing软件测试网�i-k4{�Y�N�i�x�X�e是文件的File Descriptor number,或者如下的内容:
-Y�l�\ j$\$k�Z4B�K0(这里很难翻译对应的意思,保留英文)
51Testing软件测试网"G�v!h4m;H*\;@引用
51Testing软件测试网�v+R
V+f�b*^ s3Z/O&ncwd current working directory;
;G�u�x�C�t9|�G0Lnn library references (AIX);
51Testing软件测试网0r1c4w3w7X Pjld jail directory (FreeBSD);
x�W�Z7i�H�@0ltx shared library text (code and data);
�i$t�i�^"P�I�U�l�?0Mxx hex memory-mapped type number xx.
�y-Q�j�m3O$x�I�V$V0m86 DOS Merge mapped file;
�L�v�x%J�|0mem memory-mapped file;
b�w�r
Y.]�b0mmap memory-mapped device;
51Testing软件测试网�c�[�m'P/x'v�H�bpd parent directory;
�{+\�`�{$b�F�A�i/|0rtd root directory;
�}*N5Q�I�s�k!j,p(y;v0tr kernel trace file (OpenBSD);
51Testing软件测试网�y�b
G
N9A3\%|0N�itxt program text (code and data);
51Testing软件测试网�_�s;L"\&jv86 VP/ix mapped file;
51Testing软件测试网5\*z�T�X�}�L/y%G文件的File Descriptor number显示模式有:
�@(J�O�i�y%e�Q4@�?�g0引用
51Testing软件测试网�X$U:r8F�I,m�?�N+V�L.Tr for read access;
$n�t#I�S�q�t�A�n/e�U.K�[,s0w for write access;
51Testing软件测试网�f�?*?+c9h�?-O)w'}�Ju for read and write access;
)B6`+^�q�r;l!N�I0N for a Solaris NFS lock of unknown type;
51Testing软件测试网 L�r:l5k�{,Rr for read lock on part of the file;
/Q�D(t�?4F;S�L&L$N0R for a read lock on the entire file;
51Testing软件测试网-b�F,o m#B�h0h!tw for a write lock on part of the file;
51Testing软件测试网�u:T�C�r)D7w/AW for a write lock on the entire file;
�{�z�d"g�M
u�};c0u for a read and write lock of any length;
9k�D!E�y�j5u!_0U for a lock of unknown type;
51Testing软件测试网�[�D�a,Q$u�Bx for an SCO OpenServer Xenix lock on part of the file;
51Testing软件测试网 ?+N�@�s�\�k�D�N�|�dX for an SCO OpenServer Xenix lock on the entire file;
51Testing软件测试网�t�p'O�S7P'q9\�@space if there is no lock.
51Testing软件测试网6{(X�?�v(i#f8p(H�P7、TYPE
51Testing软件测试网�W1|�d(y�h�d�M引用
51Testing软件测试网,c9V&~2e%N�M8B5aIPv4 IPv4的包;
�| Z�Y�i�y0IPv6 使用IPv6格式的包,即使地址是IPv4的,也会显示为IPv6,而映射到IPv6的地址;
6S'd&J!E5o#}�K�S�n0DIR 目录
51Testing软件测试网;b8G3R!H�n2g+n�f"mLINK 链接文件
51Testing软件测试网�g1~4{�r/U+V详情请看manual中更多的注释。
51Testing软件测试网:h�I�a�i�D8、DEVICE
51Testing软件测试网5]�K�V;Y�C�a:N*a#x�n使用character special、block special表示的设备号
�v�Y+L T�U�n09、SIZE
51Testing软件测试网�A�l�X,\;T文件的大小,如果不能用大小表示的,会留空。使用-s参数控制。
51Testing软件测试网.f�z3}%Q-l�F10、NODE
"k�V%E7v�Q�M3O0本地文件的node码,或者协议,如TCP等
�}�l.s"f�N011、NAME
51Testing软件测试网;m�q#|&N�k(b�K�{挂载点和文件的全路径(链接会被解析为实际路径),或者连接双方的地址和端口、状态等
-M�O-J)D�q'a0二、参数
51Testing软件测试网2t�O"T�X+e7X�S;G�g1、不带额外参数运行
51Testing软件测试网�g.R�h�Q(L"glsof path/filename
�n*x2j�?:^�q�W�_�B;u0显示已打开该目录或文件的所有进程信息
�x�k�_!l:^�h0lsof `which httpd`
51Testing软件测试网�e7i;x�G/Z
]
@%T显示指定命令的信息
�q8g�p�M�I4t02、参见参数
�y.}�y�\ _&W0-c w 显示以w开头命令的已打开文件的信息
51Testing软件测试网3k�I5{�W&@�p�u2@lsof -c sshd
�R6G)M�J)a�^5T�|0-p PID 显示指定PID已打开文件的信息
51Testing软件测试网
`2f6E'~�q�U�T�Slsof -p 4401
51Testing软件测试网�E8i�x5w9p7f2q9s�X+d dir 依照文件夹dir来搜寻,但不会打开子目录
51Testing软件测试网&X�B,r�B/O�W�s�d�Nlsof +d /root
�P�N1V�I�k�j)E0+D dir 打开dir文件夹以及其子目录搜寻
'u�p�T"y�g,q%U
N't0lsof +D /root/
51Testing软件测试网2e�f�l#{8K.D�Z-d s 以FD列的信息进行匹配,可使用3-10,表示范围,3,10表示某些值
�_�\6O�d�~4|
l0lsof -d 3-10
�r�O;B�z%O�^�j�N�J0-u 显示某用户的已经打开的文件(或该用户执行程序已经打开的文件)
51Testing软件测试网�U�M,t�o:[7u5elsof -u root
51Testing软件测试网+p+X#V/\�z0plsof -u 0
51Testing软件测试网�z�\&Z;a&k�G�?◎可配合正规表达式使用
(`6p2y8E v�W�c0表示不包括root用户的信息:
"A�m5Y9f&J \�@0lsof -u ^root
a�P�l
S
I�C0-i 监听指定的协议、端口、主机等的网络信息,格式为:
�R i(J1A�?%t2m+f0引用
51Testing软件测试网�_3n�K+z�Z�r0H[46][proto][@host|addr][:svc_list|port_list]
�H&C(z P�Z4K"N0例如:
51Testing软件测试网-^8m�p!N!?#u�u
Jlsof -i <!-- var prefix = 'ma' + 'il' + 'to'; var path = 'hr' + 'ef' + '='; var addy67108 = 'tcp' + '@'; addy67108 = addy67108 + '192' + '.' + '168' + '.' + '228' + '.' + '244'; var addy_text67108 = 'tcp' + '@' + '192' + '.' + '168' + '.' + '228' + '.' + '244'; document.write( '<a ' + path + '\'' + prefix + ':' + addy67108 + '\'>' ); document.write( addy_text67108 ); document.write( '<\/a>' ); //-->\n [url=mailto:tcp@192.168.228.244]tcp@192.168.228.244[/url] <!-- document.write( '<span style=\'display: none;\'>' ); //--> 为防备电子邮件地址收集器,这个 E-mail 地址被隐藏,你的浏览器必须支持 Javascript. 才可看到这个邮件地址 <!-- document.write( '</' ); document.write( 'span>' ); //-->
�w.?�? X1x#\&u.P1m�d0lsof -i:22
9L
h�A%H�D0c1S0还可以使用一些参数控制显示结果:
�V![�Z/|4\&?0引用
�F�]
b�N�Y�X7\�A�~,V+Y0-l 禁止将userID转换为登陆名称,即显示UID
51Testing软件测试网+i2O,s:x:t�~�w�?)G-n 禁止将IP地址转换为hostname主机文件
51Testing软件测试网
v(^�m�p-l�C-P 不显示端口名称
51Testing软件测试网4B4W:H |�O F*_-g s 从PGID列进行匹配
4p�F#j�S9A0lsof -g 3-10
�L�N2w1`+K
Y;V0 L�X�m�A;b03、
其他参数
:K2M�u�I0M�o5I�a7m�j�V0+f 所有路径参数都必须是文件系统,否则不能执行
�n�_ ?3x�l�B"J3O N�V0-f 所有路径参数都将作为普通的文件,例如:"-f -- /"中的/,只会匹配单个/路径,而不会是根目录中的所有文件
51Testing软件测试网6U-d�|�o�o i0t!i!w
r+f和-f后都应加上“--”表终结符:
5s�I�`"G2`"|�y0lsof -f -- /
51Testing软件测试网�A E�e
o#b�U&Y)V+L/-L 打开或关闭文件的连结数计算,当+L没有指定时,所有的连结数都会显示(默认);若+L后指定数字,则只要连结数小于该数字的信息会显示;连结数会显示在NLINK列。
�f2w0M�W5n8^
k2F�B�@�i0例如:+L1将显示没有unlinked的文件信息;+aL1,则显示指定文件系统所有unlinked的文件信息
51Testing软件测试网9{:?#g�k�Z:[�W"f�H%k-L 默认参数,其后不能跟数字,将不显示连结数信息
�d�y,d�o�y+q6r�W0lsof +L1
n
s�g�~7j1V0-t 仅打印进程,方便
shell脚本调用
51Testing软件测试网,~#`�_�I�l%w#c�@�S.ilsof -t -c sshd
�`8Z�p�`�n�_0-F 指定输出那个列,可通过lsof -F?查看
51Testing软件测试网�h,F�}5p0X.X3w�s+V-r 不断执行lsof命令,默认每15秒间隔执行一次
3K�?)_7{'?0+r 也是不断执行lsof命令,但直到没有接受到文件信息,则停止
