序言
我们都晓得,在linux下,“一切皆文件”,因而有时侯查看文件的打开情况,就变得愈发重要,而这儿有一个命令才能在这件事上挺好的帮助我们-它就是lsof。
linux下有什么文件
在介绍lsof命令之前,先简单说一下,linux主要有什么文件:
以上各种文件类型不多做详尽介绍。
lsof命令实用用法介绍
lsof,是listopenfiles的简称。它的参数好多,而且我们这儿只介绍一些实用的用法(注意有些情况须要root权限执行)。
查看当前打开的所有文件
通常来说中国linux,直接输入lsof命令形成的结果实在是太多,可能很难找到我们须要的信息。不过以此说明一下一条记录都有什么信息。
$ lsof(这里选取一条记录显示)
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
vi 27940 hyb 7u REG 8,15 16384 137573 /home/hyb/.1.txt.swp
lsof显示的结果,从左向右分别代表:打开该文件的程序名,进程id,用户,文件描述符,文件类型,设备,大小,iNode号,文件名。
我们姑且先关注我们晓得的列。这条记录,表明进程id为27940的vi程序,打开了文件描述值为7,且处于读写状态的,在/home/hyb目录下的普通文件(REGregularfile).1.txt.swaplinux启动文件,当前大小16384字节。
列举被删掉但占用空间的文件
在生产环境中,我们可能会使用df命令见到c盘空间占满了,但是实际上又很难找到占满空间的文件,这往往是因为某个大文件被删掉了,而且它却被某个进程打开,造成通过普通的形式找不到它的踪迹,最常见的就是日志文件。我们可以通过lsof来发觉这样的文件:
$ lsof |grep deleted
Xorg 1131 root 125u REG 0,5 4 61026 /memfd:xshmfence (deleted)
Xorg 1131 root 126u REG 0,5 4 62913 /memfd:xshmfence (deleted)
Xorg 1131 root 129u REG 0,5 4 74609 /memfd:xshmfence (deleted)
可以看见那些被删掉的但依然被打开文件,最后查找下来的时侯,会被标记deleted。这个时侯就可以按照实际情况剖析,究竟什么文件可能过大而且却被删掉了,造成空间一直占满。
恢复打开但被删掉的文件
后面我们可以找到被删掉并且一直被打开的文件,实际上文件并没有真正的消失,倘若是意外被删掉的,我们还有手段恢复它。以/var/log/syslog文件为例,我们先删掉它(root用户):
$ rm /var/log/syslog
之后使用lsof查看那种进程打开了该文件:
$ lsof |grep syslog
rs:main 993 1119 syslog 5w REG 8,10 78419 528470 /var/log/syslog (deleted)
可以找到进程id为993的进程打开了该文件,我们晓得每位进程在/proc下都有文件描述符打开的记录:
$ ls -l /proc/993/fd
lr-x------ 1 root root 64 3月 5 18:30 0 -> /dev/null
l-wx------ 1 root root 64 3月 5 18:30 1 -> /dev/null
l-wx------ 1 root root 64 3月 5 18:30 2 -> /dev/null
lrwx------ 1 root root 64 3月 5 18:30 3 -> socket:[15032]
lr-x------ 1 root root 64 3月 5 18:30 4 -> /proc/kmsg
l-wx------ 1 root root 64 3月 5 18:30 5 -> /var/log/syslog (deleted)
l-wx------ 1 root root 64 3月 5 18:30 6 -> /var/log/auth.log
这儿就找到了被删掉的syslog文件,文件描述符是5,我们把它重定向下来:
$ cat /proc/993/fd/5 > syslog
$ ls -al /var/log/syslog
-rw-r--r-- 1 root root 78493 3月 5 19:22 /var/log/syslog
这样我们就恢复了syslog文件。
查看当前文件被什么进程打开
Windows下常常遇见要删掉某个文件,之后告诉你某个程序正在使用,但是不告诉你具体是那个程序。我们可以在资源管理器-性能-资源监视器-cpu-关联的句柄处搜索文件,即可找到打开该文件的程序,并且搜索速率催泪。
linux就比较容易了,使用lsof命令就可以了,比如要查看当前什么程序打开了hello.c:
$ lsof hello.c
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
tail 28731 hyb 3r REG 8,15 228 138441 hello.c
并且我们会发觉,使用vi打开的hello.c并没有找下来,这是由于vi打开的是一个临时副本。我们换一种方法查找:
$ lsof |grep hello.c
tail 28906 hyb 3r REG 8,15 228 138441 /home/hyb/workspaces/c/hello.c
vi 28933 hyb 9u REG 8,15 12288 137573 /home/hyb/workspaces/c/.hello.c.swp
这样我们就找到了两个程序和hello.c文件相关。
这儿grep的作用是从所有结果中只列举符合条件的结果。
查看某个目录文件被打开情况
$ lsof +D ./
查看当前进程打开了什么文件
使用方式:lsof-c进程名
一般用于程序定位问题,比如用于查看当前进程使用了什么库,打开了什么文件等等。假定有一个循环复印字符的hello程序:
$ lsof -c hello
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
hello 29190 hyb cwd DIR 8,15 4096 134538 /home/hyb/workspaces/c
hello 29190 hyb rtd DIR 8,10 4096 2 /
hello 29190 hyb txt REG 8,15 9816 138314 /home/hyb/workspaces/c/hello
hello 29190 hyb mem REG 8,10 1868984 939763 /lib/x86_64-linux-gnu/libc-2.23.so
hello 29190 hyb mem REG 8,10 162632 926913 /lib/x86_64-linux-gnu/ld-2.23.so
hello 29190 hyb 0u CHR 136,20 0t0 23 /dev/pts/20
hello 29190 hyb 1u CHR 136,20 0t0 23 /dev/pts/20
hello 29190 hyb 2u CHR 136,20 0t0 23 /dev/pts/20
我们可以从中看见,起码它用到了/lib/x86_64-linux-gnu/libc-2.23.so以及hello文件。
也可以通过进程id查看,可跟多个进程id,使用冒号隔开:
$ lsof -p 29190
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
hello 29190 hyb cwd DIR 8,15 4096 134538 /home/hyb/workspaces/c
hello 29190 hyb rtd DIR 8,10 4096 2 /
hello 29190 hyb txt REG 8,15 9816 138314 /home/hyb/workspaces/c/hello
hello 29190 hyb mem REG 8,10 1868984 939763 /lib/x86_64-linux-gnu/libc-2.23.so
hello 29190 hyb mem REG 8,10 162632 926913 /lib/x86_64-linux-gnu/ld-2.23.so
hello 29190 hyb 0u CHR 136,20 0t0 23 /dev/pts/20
hello 29190 hyb 1u CHR 136,20 0t0 23 /dev/pts/20
hello 29190 hyb 2u CHR 136,20 0t0 23 /dev/pts/20
其实这儿还有一种方法,就是借助proc文件系统linux启动文件,首先找到hello进程的进程id
$ ps -ef|grep hello
hyb 29190 27929 0 21:14 pts/20 00:00:00 ./hello 2
hyb 29296 28848 0 21:18 pts/22 00:00:00 grep --color=auto hello
可以看见进程id为29190,查看该进程文件描述记录目录:
$ ls -l /proc/29190/fd
lrwx------ 1 hyb hyb 64 3月 2 21:14 0 -> /dev/pts/20
lrwx------ 1 hyb hyb 64 3月 2 21:14 1 -> /dev/pts/20
lrwx------ 1 hyb hyb 64 3月 2 21:14 2 -> /dev/pts/20
这些方法才能过滤好多信息,由于它只列举了该进程实际打开的,这儿它只打开了0,1,2,即标准输入,标准输出和标准错误。
查看某个端口被占用情况
在使用数据库或则启用web服务的时侯,总能碰到端口占用问题,这么如何查看某个端口是否被占用呢?
$ lsof -i :6379
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
redis-ser 29389 hyb 6u IPv6 534612 0t0 TCP *:6379 (LISTEN)
redis-ser 29389 hyb 7u IPv4 534613 0t0 TCP *:6379 (LISTEN)
这儿可以看见redis-ser进程占用了6379端口。
查看所有的TCP/UDP联接
$ lsof -i tcp
ava 2534 hyb 6u IPv6 31275 0t0 TCP localhost:9614 (LISTEN)
java 2534 hyb 22u IPv6 96922 0t0 TCP localhost:9614->localhost:39004 (ESTABLISHED)
java 2534 hyb 23u IPv6 249588 0t0 TCP localhost:9614->localhost:45460 (ESTABLISHED)
其实我们也可以使用netstat命令。
$ netstat -anp|grep 6379
这儿的-i参数可以跟多种条件:
因而须要查看与某个ip地址构建的联接时,可以使用下边的形式:
$ lsof -i@127.0.0.1
查看某个用户打开了什么文件
linux是一个多用户操作系统adobe air linux,如何晓得其他普通用户打开了什么文件呢?可使用-u参数
$ lsof -u hyb
(内容太多,省略)
列举不仅某个进程或某个用户打开的文件
实际上和上面使用方式类似,只不过,在进程id上面或则用户名后面加^,比如:
lsof -p ^1 #列出除进程id为1的进程以外打开的文件
lsof -u ^root #列出除root用户以外打开的文件
总结
以上介绍基于一个条件,实际上多个条件可以组合,比如列举进程id为1的进程打开的tcp套接字文件:
lsof -p 1 -i tcp
lsof参数好多,具体的可以使用man命令查看,然而对于我们来说,晓得那些实用的基本足够。
●
●
●
●
●
●
小贴士
返回上一级搜索“Java女程序员大数据留言送书运维算法Chrome黑客PythonJavaScript人工智能女同事MySQL书籍等关键词获取相关文章推荐。
文章评论