做网站的多少钱,seo排名优化,宁波seo资源,微信怎么设计分享网站lsof#xff08;List Open Files#xff09; 用于查看你进程开打的文件#xff0c;打开文件的进程#xff0c;进程打开的端口(TCP、UDP)#xff0c;找回/恢复删除的文件。是十分方便的系统监视工具#xff0c;因为lsof命令需要访问核心内存和各种文件#xff0c;所以需要…lsofList Open Files 用于查看你进程开打的文件打开文件的进程进程打开的端口(TCP、UDP)找回/恢复删除的文件。是十分方便的系统监视工具因为lsof命令需要访问核心内存和各种文件所以需要root用户执行。 在linux环境下任何事物都以文件的形式存在通过文件不仅仅可以访问常规数据还可以访问网络连接和硬件(lsof强大原因)。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等系统在后台都为该应用程序分配了一个文件描述符无论这个文件的本质如何该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因 为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。  选项 1 -a列出打开文件存在的进程2 -c进程名列出指定进程所打开的文件3 -g列出GID号进程详情4 -d文件号列出占用该文件号的进程5 d目录列出目录下被打开的文件6 D目录递归列出目录下被打开的文件7 -n目录列出使用NFS的文件8 -i条件列出符合条件的进程。4、6、协议、:端口、 ip 9 -p进程号列出指定进程号所打开的文件 10 -u列出UID号进程详情 11 -h显示帮助信息 12 -v显示版本信息。 实例 1 lsof2 command PID USER FD type DEVICE SIZE NODE NAME3 init 1 root cwd DIR 8,2 4096 2 /4 init 1 root rtd DIR 8,2 4096 2 /5 init 1 root txt REG 8,2 43496 6121706 /sbin/init6 init 1 root mem REG 8,2 143600 7823908 /lib64/ld-2.5.so7 init 1 root mem REG 8,2 1722304 7823915 /lib64/libc-2.5.so8 init 1 root mem REG 8,2 23360 7823919 /lib64/libdl-2.5.so9 init 1 root mem REG 8,2 95464 7824116 /lib64/libselinux.so.1 10 init 1 root mem REG 8,2 247496 7823947 /lib64/libsepol.so.1 11 init 1 root 10u FIFO 0,17 1233 /dev/initctl 12 migration 2 root cwd DIR 8,2 4096 2 / 13 migration 2 root rtd DIR 8,2 4096 2 / 14 migration 2 root txt unknown /proc/2/exe 15 ksoftirqd 3 root cwd DIR 8,2 4096 2 / 16 ksoftirqd 3 root rtd DIR 8,2 4096 2 / 17 ksoftirqd 3 root txt unknown /proc/3/exe 18 migration 4 root cwd DIR 8,2 4096 2 / 19 migration 4 root rtd DIR 8,2 4096 2 / 20 migration 4 root txt unknown /proc/4/exe 21 ksoftirqd 5 root cwd DIR 8,2 4096 2 / 22 ksoftirqd 5 root rtd DIR 8,2 4096 2 / 23 ksoftirqd 5 root txt unknown /proc/5/exe 24 events/0 6 root cwd DIR 8,2 4096 2 / 25 events/0 6 root rtd DIR 8,2 4096 2 / 26 events/0 6 root txt unknown /proc/6/exe 27 events/1 7 root cwd DIR 8,2 4096 2 / 每行显示一个打开的文件若不指定条件默认将显示所有进程打开的所有文件。lsof输出各列信息的意义如下  COMMAND进程的名称 PID进程标识符 USER进程所有者 FD文件描述符应用程序通过文件描述符识别该文件。如cwd、txt等 TYPE文件类型如DIR、REG等 DEVICE指定磁盘的名称 SIZE文件的大小 NODE索引节点文件在磁盘上的标识 NAME打开文件的确切名称 其中FD 列中的文件描述符cwd 值表示应用程序的当前工作目录这是该应用程序启动的目录除非它本身对这个目录进行更改。txt 类型的文件是程序代码如应用程序二进制文件本身或共享库如上列表中显示的 /sbin/init 程序。其次数值表示应用程序的文件描述符这是打开该文件时返回的一个整数。如上的最后一行文件/dev/initctl其文件描述符为 10。u 表示该文件被打开并处于读取/写入模式而不是只读(R) 或只写 (w) 模式。同时还有大写 的W 表示该应用程序具有对整个文件的写锁。该文件描述符用于确保每次只能打开一个应用程序实例。初始打开每个应用程序时都具有三个文件描述符0、1、2 分别表示标准输入、输出和错误流。所以大多数应用程序所打开的文件的 FD 都是从 3 开始。  Type : 文件和目录分别称为 REG 和 DIR在 Solaris 中称为 VREG 和 VDIR。而CHR 和 BLK分别表示字符和块设备 或者 UNIX、FIFO 和 IPv4分别表示 UNIX 域套接字、先进先出 (FIFO) 队列和网际协议 (IP) 套接字。 1 文件描述符列表2 3 cwd表示current work dirctory即应用程序的当前工作目录这是该应用程序启动的目录除非它本身对这个目录进行更改4 txt该类型的文件是程序代码如应用程序二进制文件本身或共享库如上列表中显示的 /sbin/init 程序5 lnnlibrary references (AIX);6 erFD information error (see NAME column);7 jldjail directory (FreeBSD);8 ltxshared library text (code and data);9 mxx hex memory-mapped type number xx. 10 m86DOS Merge mapped file; 11 memmemory-mapped file; 12 mmapmemory-mapped device; 13 pdparent directory; 14 rtdroot directory; 15 trkernel trace file (OpenBSD); 16 v86 VP/ix mapped file; 17 0表示标准输出 18 1表示标准输入 19 2表示标准错误 20 21 一般在标准输出、标准错误、标准输入后还跟着文件状态模式 22 23 u表示该文件被打开并处于读取/写入模式。 24 r表示该文件被打开并处于只读模式。 25 w表示该文件被打开并处于。 26 空格表示该文件的状态模式为unknow且没有锁定。 27 -表示该文件的状态模式为unknow且被锁定。 28 29 同时在文件状态模式后面还跟着相关的锁 30 31 Nfor a Solaris NFS lock of unknown type; 32 rfor read lock on part of the file; 33 Rfor a read lock on the entire file; 34 wfor a write lock on part of the file;文件的部分写锁 35 Wfor a write lock on the entire file;整个文件的写锁 36 ufor a read and write lock of any length; 37 Ufor a lock of unknown type; 38 xfor an SCO OpenServer Xenix lock on part of the file; 39 Xfor an SCO OpenServer Xenix lock on the entire file; 40 spaceif there is no lock. 1 文件类型2 3 DIR表示目录。4 CHR表示字符类型。5 BLK块设备类型。6 UNIX UNIX 域套接字。7 FIFO先进先出 (FIFO) 队列。8 IPv4网际协议 (IP) 套接字。9 DEVICE指定磁盘的名称 10 SIZE文件的大小 11 NODE索引节点文件在磁盘上的标识 12 NAME打开文件的确切名称 常用参数 lsof语法格式是lsof options filename 1 lsof abc.txt 显示开启文件abc.txt的进程2 lsof -c abc 显示出以字母 abc 开头进程现在打开的文件3 lsof -p 1234 列出进程号为1234的进程所打开的文件4 lsof -g gname/gid 显示归属gname或gid的进程情况5 lsof -u uname/uid 显示归属uname或uid的进程情况6 lsof d /usr/local/ 显示目录下被进程开启的文件7 lsof D /usr/local/ 同上但是会搜索目录下的目录时间较长8 lsof -d 4 显示使用fd为4的进程9 lsof -i 用以显示符合条件的进程情况 10 lsof -i[46] [protocol][hostname|hostaddr][:service|port] 11 46 -- IPv4 or IPv6 12 protocol -- TCP or UDP 13 hostname -- Internet host name 14 hostaddr -- IPv4地址 15 service -- /etc/service中的 service name (可以不止一个) 16 port -- 端口号 (可以不止一个) 实例 lsof which httpd //那个进程在使用apache的可执行文件 lsof /etc/passwd //那个进程在占用/etc/passwd lsof /dev/hda6 //那个进程在占用hda6 lsof /dev/cdrom //那个进程在占用光驱 lsof -c sendmail //查看sendmail进程的文件使用情况 lsof -c courier -u ^zahn //显示出那些文件被以courier打头的进程打开但是并不属于用户zahn lsof -p 30297 //显示那些文件被pid为30297的进程打开 lsof -D /tmp 显示所有在/tmp文件夹中打开的instance和文件的进程。但是symbol文件并不在列lsof -u1000 //查看uid是100的用户的进程的文件使用情况 lsof -utony //查看用户tony的进程的文件使用情况 lsof -u^tony //查看不是用户tony的进程的文件使用情况(^是取反的意思) lsof -i //显示所有打开的端口 lsof -i:80 //显示所有打开80端口的进程 lsof -i -U //显示所有打开的端口和UNIX domain文件 lsof -i UDP[url]www.akadia.com:123 //显示那些进程打开了到www.akadia.com的UDP的123(ntp)端口的链接 lsof -i tcpohaha.ks.edu.tw:ftp -r //不断查看目前ftp连接的情况(-rlsof会永远不断的执行直到收到中断信号,rlsof会一直执行直到没有档案被显示,缺省是15s刷新) lsof -i tcpohaha.ks.edu.tw:ftp -n //lsof -n 不将IP转换为hostname缺省是不加上-n参数 查看打开22端口的所有进程 # lsof -i :22 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME sshd 1409 root 3u IPv6 5678 TCP *:ssh (LISTEN) 查看所属root用户进程所打开的文件类型为txt的文件 # lsof -a -u root -d txt COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME init 1 root txt REG 3,3 38432 1763452 /sbin/init mingetty 1632 root txt REG 3,3 14366 1763337 /sbin/mingetty mingetty 1633 root txt REG 3,3 14366 1763337 /sbin/mingetty mingetty 1634 root txt REG 3,3 14366 1763337 /sbin/mingetty mingetty 1635 root txt REG 3,3 14366 1763337 /sbin/mingetty mingetty 1636 root txt REG 3,3 14366 1763337 /sbin/mingetty mingetty 1637 root txt REG 3,3 14366 1763337 /sbin/mingetty kdm 1638 root txt REG 3,3 132548 1428194 /usr/bin/kdm X 1670 root txt REG 3,3 1716396 1428336 /usr/bin/Xorg kdm 1671 root txt REG 3,3 132548 1428194 /usr/bin/kdm startkde 2427 root txt REG 3,3 645408 1544195 /bin/bash 查看某个进程使用某个文件描述符的情况 #lsof -d 6 |grep 6139 搜索某个地址打开的网络连接 　　如果想搜索IP地址为10.645.64.23的远程连接主机的所有网络连接,可以执行如下命令该命令可以打开系统中该远程知己所有打开的套接字。 lsof –i10.65.64.23 寻找本地断开的打开文件 　　用户经常遇到这种情况当一个进程正在向一个文件写数据时该文件的目录可能被移动。这就产生了一个非常大的问题。例如用户可能发现正在向/data写数据但是却看不到文件增大LSOF这个工具可以找到到这样的错误。 lsof –a L1 /data 查找谁在使用文件系统 在卸载文件系统时如果该文件系统中有任何打开的文件操作通常将会失败。那么通过lsof可以找出那些进程在使用当前要卸载的文件系统如下 # lsof /GTES11/ COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME bash 4208 root cwd DIR 3,1 4096 2 /GTES11/ vim 4230 root cwd DIR 3,1 4096 2 /GTES11/ 在这个示例中用户root正在其/GTES11目录中进行一些操作。一个 bash是实例正在运行并且它当前的目录为/GTES11另一个则显示的是vim正在编辑/GTES11下的文件。要成功地卸载/GTES11应该在通知用户以确保情况正常之后中止这些进程。 这个示例说明了应用程序的当前工作目录非常重要因为它仍保持着文件资源并且可以防止文件系统被卸载。这就是为什么大部分守护进程后台进程将它们的目录更改为根目录、或服务特定的目录如 sendmail 示例中的 /var/spool/mqueue的原因以避免该守护进程阻止卸载不相关的文件系统。 恢复删除的文件 当Linux计算机受到入侵时常见的情况是日志文件被删除以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件比如在清理旧日志时意外地删除了数据库的活动事务日志。有时可以通过lsof来恢复这些文件。当进程打开了某个文件时只要该进程保持打开该文件即使将其删除它依然存在于磁盘中。这意味着进程并不知道文件已经被删除它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外这个文件是不可见的因为已经删除了其相应的目录索引节点。在/proc 目录下其中包含了反映内核和进程树的各种文件。/proc目录挂载的是在内存中所映射的一块区域所以这些文件和目录并不存在于磁盘中因此当我们对这些文件进行读取和写入时实际上是在从内存中获取相关信息。大多数与 lsof 相关的信息都存储于以进程的 PID 命名的目录中即 /proc/1234 中包含的是 PID 为 1234 的进程的信息。每个进程目录中存在着各种文件它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof 程序使用该信息和其他关于内核内部状态的信息来产生其输出。所以lsof 可以显示进程的文件描述符和相关的文件名等信息。也就是我们通过访问进程的文件描述符可以找到该文件的相关信息。当系统中的某个文件被意外地删除了只要这个时候系统中还有进程正在访问该文件那么我们就可以通过lsof从/proc目录下恢复该文件的内容。 假如由于误操作将/var/log/messages文件删除掉了那么这时要将/var/log/messages文件恢复的方法如下首先使用lsof来查看当前是否有进程打开/var/logmessages文件如下 # lsof |grep /var/log/messages syslogd 1283 root 2w REG 3,3 5381017 1773647 /var/log/messages (deleted) 从上面的信息可以看到 PID 1283syslogd打开文件的文件描述符为 2。同时还可以看到/var/log/messages已经标记被删除了。因此我们可以在 /proc/1283/fd/2 fd下的每个以数字命名的文件表示进程对应的文件描述符中查看相应的信息如下 # head -n 10 /proc/1283/fd/2 Aug 4 13:50:15 holmes86 syslogd 1.4.1: restart. Aug 4 13:50:15 holmes86 kernel: klogd 1.4.1, log source /proc/kmsg started. Aug 4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 (rooteverestbuilder.linux-ren.org) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007 Aug 4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map: Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000000000 - 000000000009f000 (usable) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 000000001f7d3800 - 0000000020000000 (reserved) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000e0000000 - 00000000f0007000 (reserved) Aug 4 13:50:15 holmes86 kernel: BIOS-e820: 00000000f0008000 - 00000000f000c000 (reserved) 从上面的信息可以看出查看 /proc/8663/fd/15 就可以得到所要恢复的数据。如果可以通过文件描述符查看相应的数据那么就可以使用 I/O 重定向将其复制到文件中如: cat /proc/1283/fd/2 /var/log/messages 对于许多应用程序尤其是日志文件和数据库这种恢复删除文件的方法非常有用。   参考:http://blog.csdn.net/yuzhihui_no1/article/details/51767516转载于:https://www.cnblogs.com/muchengnanfeng/p/9554993.html