【Linux】命令lsof使用详解

🦄 个人主页——🎐开着拖拉机回家_大数据运维-CSDN博客 🎐✨🍁

🪁🍁🪁🍁🪁🍁🪁🍁 🪁🍁🪁🍁🪁🍁🪁 🪁🍁🪁🍁🪁🍁🪁🍁🪁🍁🪁🍁

感谢点赞和关注 ，每天进步一点点！加油！

目录

一、lsof命令介绍

lsof（list open files）是一个列出当前系统打开文件的工具。在linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。如TCP和UDP等，系统在后台都为该应用程序分配了一个文件描述符，无论这个文件的本质如何，该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息，因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。

二、lsof命令功能

用于查看你进程开打的文件，打开文件的进程，进程打开的端口(TCP、UDP)。找回/恢复删除的文件。是十分方便的系统监视工具。

三、lsof命令输出说明

lsof [参数][文件]

lsof输出各列信息的意义如下：

COMMAND：进程的名称

PID：进程标识符

PPID：父进程标识符（需要指定-R参数）

USER：进程所有者

FD：文件描述符，应用程序通过文件描述符识别该文件。如cwd、txt等

• cwd：表示current work dirctory，即：应用程序的当前工作目录，这是该应用程序启动的目录，除非它本身对这个目录进行更改
• txt ：该类型的文件是程序代码，如应用程序二进制文件本身或共享库，如上列表中显示的 /sbin/init 程序
• lnn：库引用 (AIX);
• er：FD信息错误 (see NAME column);
• jld：jail directory (FreeBSD);
• ltx：shared library text (code and data);
• mxx ：hex memory-mapped type number xx.
• m86：DOS Merge mapped file;
• mem：内存映射文件;
• mmap：内存映射设备;
• pd：parent directory;
• rtd：root directory;
• tr：kernel trace file (OpenBSD);
• v86 VP/ix mapped file;
• 0：表示标准输出
• 1：表示标准输入
• 2：表示标准错误

一般在标准输出、标准错误、标准输入后还跟着文件状态模式：r、w、u等

• u：表示该文件被打开并处于读取/写入模式
• r：表示该文件被打开并处于只读模式
• w：表示该文件被打开并处于
• 空格：表示该文件的状态模式为unknow，且没有锁定

• -：表示该文件的状态模式为unknow，且被锁定

同时在文件状态模式后面，还跟着相关的锁：

• N：for a Solaris NFS lock of unknown type;
• r：部分文件的读锁;
• R：整个文件的读锁;
• w：部分的文件的部分写锁;
• W：整个文件的写锁;（整个文件的写锁）
• u：对于任意长度的读写锁;
• U：对于未知类型的锁;
• x：for an SCO OpenServer Xenix lock on part of the file;
• X：for an SCO OpenServer Xenix lock on the entire file;
• space：if there is no lock.

TYPE：文件类型，如DIR、REG等，常见的文件类型

• DIR：表示目录
• CHR：表示字符类型
• BLK：块设备类型
• UNIX： UNIX 域套接字
• FIFO：先进先出 (FIFO) 队列
• IPv4：网际协议 (IP) 套接字

DEVICE：指定磁盘的名称

SIZE：文件的大小

NODE：索引节点（文件在磁盘上的标识）

NAME：打开文件的确切名称

四、lsof常见命令参数

 lsof --help

常用的命令：

• lsof 显示开启文件的进程
• 使用-i:port来显示与指定端口相关的网络信息
• 使用@host来显示指定到指定主机的连接
• 使用@host:port显示基于主机与端口的连接
• 使用-c查看指定的命令正在使用的文件和网络连接
• 使用-p查看指定进程ID已打开的内容

如下：

lsof xxx.txt : 显示开启文件xxx.txt的进程
lsof -c webserver: 显示abc进程现在打开的文件
lsof -c -p 123456 : 列出进程号为123456的进程所打开的文件
lsof -g gid : 显示归属gid的进程情况
lsof +d /usr/local/ : 显示目录下被进程开启的文件
lsof +D /usr/local/: 同上，但是会搜索目录下的目录，时间较长
lsof -d 4 : 显示使用fd为4的进程
lsof -i 用以显示符合条件的进程情况
lsof -i[46] [protocol][@hostname|hostaddr][:service|port]

五、常用的命令使用

查看谁正在使用某个文件，也就是说查找某个文件相关的进程

lsof /var/log/cron

递归查看某个目录的文件信息

lsof +D /var/log/hadoop/             【使用了+D，对应目录下的所有子目录和文件都会被列出】

列出某个用户打开的文件信息

# 列出hdfs用户打开的文件信息
lsof -u hdfs 

列出某个程序进程所打开的文件信息

# 列出java进程中搜索关于nodemanager所打开的文件信息
lsof –c java | grep nodemanager
-c【command】 选项将会列出所有以java这个进程开头的程序的文件，

列出多个进程多个打开的文件信息

# java进程且端口占用为8020的打开文件信息
 lsof -c java  -i:8020 | head  -n 10

 # -i i   select by IPv[46] address: [46][proto][@host|addr][:svc_list|port_list]

列出某个IP的连接信息

# 列出主机hdp104的连接信息
lsof -i @hdp104

根据IP分类显示当前环境的连接信息

lsof -i 4  #列举IPV4
lsof -i 6  #列举IPV6

列出TCP/UDP的连接信息

lsof -i tcp      
lsof -i udp
lsof -i tcp:22

列出除了某个用户外的被打开的文件信息

[root@localhost omc]#lsof -u ^root

列出某个用户的所有活跃的网络端口

# hbase用户所有活跃的网络端口
lsof -a -u hbase  -i

通过某个进程号显示该进程打开的文件

# zookeeper进程打开的文件
lsof -p 28323

列出COMMAND列中包含字符串” java”，且文件描符的类型为mem，用户为yarn的文件信息

lsof -c java -a -d mem -u yarn

列出被进程号为22848的进程所打开的所有IPV4 network files

lsof -i 4 -a -p 22848

列出目前连接主机hdp105且端口为：8020,16020相关的所有文件信息，且每隔3秒不断的执行lsof指令

lsof -i @hdp105:8020,16020 -r 3

找出正等候连接的端口

lsof -i -sTCP:LISTEN
lsof -i | grep -i LISTEN

lsof -i -sTCP:ESTABLISHED
lsof -i | grep -i ESTABLISHED

Linux lsof命令详解 – 小a玖拾柒 – 博客园

linux lsof详解_51CTO博客_lsof命令详解