linux--查看文件占用（lsof）

linux--查看文件占用（lsof）

1 簡介
2 lsof
2.1 簡介
lsof可以打開的文件
2.2 用法
2.3 示例
在終端下輸入lsof即可顯示系統打開的文件（root權限）
查看某端口運行情況
查看所屬root用戶進程所打開的文件類型為txt的文件
查看誰使用該文件
恢復刪除的文件（摘自3）
參考
1 簡介

一個文件可能被多個進程操作，linux查看文件被哪些進程操作，可使用lsof命令。

2 lsof

2.1 簡介

lsof（list open files）是一個列出當前系統打開文件的工具。在linux環境下，任何事物都以文件的形式存在，通過文件不僅僅可以訪問常規數據，還可以訪問網絡連接和硬件。所以如傳輸控制協議 (TCP) 和用戶數據報協議 (UDP) 套接字等，系統在后台都為該應用程序分配了一個文件描述符，無論這個文件的本質如何，該文件描述符為應用程序與基礎操作系統之間的交互提供了通用接口。因為應用程序打開文件的描述符列表提供了大量關於這個應用程序本身的信息，因此通過lsof工具能夠查看這個列表對系統監測以及排錯將是很有幫助的。

lsof可以打開的文件

普通文件
目錄
網絡文件系統的文件
字符或設備文件
(函數)共享庫
管道，命名管道
符號鏈接
網絡文件（例如：NFS file、網絡socket，unix域名socket）
還有其它類型的文件，等等
2.2 用法

lsof ［options］ filename
常用如下列表：
lsof filename 顯示打開指定文件的所有進程
lsof -a 表示兩個參數都必須滿足時才顯示結果
lsof -c string 顯示COMMAND列中包含指定字符的進程所有打開的文件
lsof -u username 顯示所屬user進程打開的文件
lsof -g gid 顯示歸屬gid的進程情況
lsof +d /DIR/ 顯示目錄下被進程打開的文件
lsof +D /DIR/ 同上，但是會搜索目錄下的所有目錄，時間相對較長
lsof -d FD 顯示指定文件描述符的進程
lsof -n 不將IP轉換為hostname，缺省是不加上-n參數
lsof -i 用以顯示符合條件的進程情況
lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
46 --> IPv4 or IPv6
protocol --> TCP or UDP
hostname --> Internet host name
hostaddr --> IPv4地址
service --> /etc/service中的 service name (可以不只一個)
port --> 端口號 (可以不只一個)
2.3 示例

在終端下輸入lsof即可顯示系統打開的文件（root權限）

lsof | grep qt

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sogou-qim 1469 meg mem REG 8,1 353944 396899 /usr/lib/x86_64-linux-gnu/qt4/plugins/accessible/libqtaccessiblewidgets.so
sogou-qim 1469 meg mem REG 8,1 261944 396900 /usr/lib/x86_64-linux-gnu/qt4/plugins/accessiblebridge/libqspiaccessiblebridge.so
sogou-qim 1469 meg mem REG 8,1 31592 396915 /usr/lib/x86_64-linux-gnu/qt4/plugins/imageformats/libqtiff.so
sogou-qim 1469 meg mem REG 8,1 23128 396914 /usr/lib/x86_64-linux-gnu/qt4/plugins/imageformats/libqtga.so
sogou-qim 1469 meg mem REG 8,1 27568 396913 /usr/lib/x86_64-linux-gnu/qt4/plugins/imageformats/libqmng.so
sogou-qim 1469 meg mem REG 8,1 31696 396912 /usr/lib/x86_64-linux-gnu/qt4/plugins/imageformats/libqjpeg.so
sogou-qim 1469 meg mem REG 8,1 31504 396911 /usr/lib/x86_64-linux-gnu/qt4/plugins/imageformats/libqico.so
sogou-qim 1469 meg mem REG 8,1 31440 396910 /usr/lib/x86_64-linux-gnu/qt4/plugins/imageformats/libqgif.so
hud-servi 1517 meg mem REG 8,1 361960 396977 /usr/lib/x86_64-linux-gnu/qt5/plugins/platformthemes/libappmenu-qt5.so

COMMAND：進程的名稱
PID：進程標識符
USER：進程所有者
FD：文件描述符，應用程序通過文件描述符識別該文件。如cwd、txt等
TYPE：文件類型，如DIR、REG等
DEVICE：指定磁盤的名稱
SIZE：文件的大小
NODE：索引節點（文件在磁盤上的標識）
NAME：打開文件的確切名稱
查看某端口運行情況

lsof -i :22

1 /bin/busybox /dev/console
1 /bin/busybox /dev/console
1 /bin/busybox /dev/console
1479 /sbin/udevd /dev/null
1479 /sbin/udevd /dev/null
1479 /sbin/udevd /dev/null
1479 /sbin/udevd anon_inode:inotify
1479 /sbin/udevd socket:[725]
1479 /sbin/udevd socket:[726]
1479 /sbin/udevd pipe:[727]
1479 /sbin/udevd pipe:[727]
3179 /bin/busybox /dev/null
3179 /bin/busybox /dev/null
3179 /bin/busybox /dev/null
3179 /bin/busybox socket:[5139]
3179 /bin/busybox socket:[5140]
3179 /bin/busybox socket:[5141]
3179 /bin/busybox socket:[5142]
3179 /bin/busybox socket:[5143]
3179 /bin/busybox socket:[5144]
3179 /bin/busybox socket:[5145]

查看所屬root用戶進程所打開的文件類型為txt的文件

lsof -a -u root -d txt

1 /bin/busybox /dev/console
1 /bin/busybox /dev/console
1 /bin/busybox /dev/console
1479 /sbin/udevd /dev/null
1479 /sbin/udevd /dev/null
1479 /sbin/udevd /dev/null
1479 /sbin/udevd anon_inode:inotify
1479 /sbin/udevd socket:[725]
1479 /sbin/udevd socket:[726]
1479 /sbin/udevd pipe:[727]
1479 /sbin/udevd pipe:[727]
1641 /bin/busybox /dev/null
1641 /bin/busybox /dev/console
1641 /bin/busybox /dev/console
3179 /bin/busybox /dev/null
3179 /bin/busybox /dev/null
3179 /bin/busybox /dev/null
3179 /bin/busybox socket:[5139]
3179 /bin/busybox socket:[5140]
3179 /bin/busybox socket:[5141]
3179 /bin/busybox socket:[5142]
3179 /bin/busybox socket:[5143]
3179 /bin/busybox socket:[5144]
3179 /bin/busybox socket:[5145]
3207 /usr/local/sbin/sshd /dev/null
3207 /usr/local/sbin/sshd /dev/null
3207 /usr/local/sbin/sshd /dev/null
3207 /usr/local/sbin/sshd socket:[3002]

查看誰使用該文件

過濾找出該文件占用的進程

lsof | grep ./wcs.pid

32287 /opt/worthsen/wcs /opt/worthsen/config/wcs.pid
1
2
3
恢復刪除的文件（摘自3）

當Linux計算機受到入侵時，常見的情況是日志文件被刪除，以掩蓋攻擊者的蹤跡。管理錯誤也可能導致意外刪除重要的文件，比如在清理舊日志時，意外地刪除了數據庫的活動事務日志。有時可以通過lsof來恢復這些文件。
當進程打開了某個文件時，只要該進程保持打開該文件，即使將其刪除，它依然存在於磁盤中。這意味着，進程並不知道文件已經被刪除，它仍然可以向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外，這個文件是不可見的，因為已經刪除了其相應的目錄索引節點。

# lsof |grep /var/log/messages
syslogd 1283 root 2w REG 3,3 5381017 1773647 /var/log/messages (deleted)
從上面的信息可以看到 PID 1283（syslogd）打開文件的文件描述符為 2。同時還可以看到/var/log/messages已經標記被刪除了。因此我們可以在 /proc/1283/fd/2 （fd下的每個以數字命名的文件表示進程對應的文件描述符）中查看相應的信息，如下：
# head -n 10 /proc/1283/fd/2
Aug 4 13:50:15 holmes86 syslogd 1.4.1: restart.
Aug 4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started.
Aug 4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 (root@everestbuilder.linux-ren.org) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007
Aug 4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map:
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000000000 - 000000000009f000 (usable)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000001f7d3800 - 0000000020000000 (reserved)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000e0000000 - 00000000f0007000 (reserved)
Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000f0008000 - 00000000f000c000 (reserved)
從上面的信息可以看出，查看 /proc/8663/fd/15 就可以得到所要恢復的數據。如果可以通過文件描述符查看相應的數據，那么就可以使用 I/O 重定向將其復制到文件中，如:
cat /proc/1283/fd/2 > /var/log/messages
對於許多應用程序，尤其是日志文件和數據庫，這種恢復刪除文件的方法非常有用。


參考

1、wiki–lsof
2、linux查看文件被哪個進程占用？
3、linux lsof詳解
4、3. lsof 一切皆文件

————————————————
版權聲明：本文為CSDN博主「worthsen」的原創文章，遵循CC 4.0 BY-SA版權協議，轉載請附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/qq_38880380/article/details/120233654