【Linux进阶命令 04】lsof (看看是谁动了我的文件？)_linux lsof

一、简介

lsof（list open files）是一个列出当前系统打开文件的工具。

它主要用来获取被进程打开文件的信息。

在 Linux 中，一切皆文件，lsof 命令可以查看所有已经打开了的文件，比如：普通文件，目录，特殊的块文件，管道，socket 套接字，设备，Unix 域套接字等等。同时，它还可以结合 grep 以及 ps 命令进行更多的高级搜索

打开的文件：
在Linux中，一切都是文件，当进程打开现有文件或创建新文件时，内核向进程返回一个文件描述符，文件描述符就是内核为了高效管理已被打开的文件所创建的索引，用来指向被打开的文件，所有执行 I/O 操作的系统调用都会通过文件描述符。因此，打开的文件指的是进程打开并使用的文件。

二、lsof语法

2.1 基本格式

lsof [OPTIONS] [--] [NAMES]
1

在没有任何选项的情况下，lsof 列出所有属于活动进程的打开文件（一般会很多、很多、很多）。

2.2 选项

lsof 命令有很多选项，下面是一些常用的选项（完整的字节看手册）：

• -a：表示 AND，用于指定多个条件。
• -c <command>：列出指定命令所打开的文件。
• -d <fd>：列出指定文件描述符所打开的文件。
• -g <gid>：列出指定组 ID 所属的进程所打开的文件。
• -i：列出所有打开了网络套接字（TCP 和 UDP）的进程。
• -n：禁止解析 IP 地址和端口号。
• -p <pid>：列出指定进程 ID 所打开的文件。
• -u <username>：列出指定用户所属的进程所打开的文件。

2.3 输出字段解释

使用lsof命令后输出一般有9个字段（9列）：

COMMAND：进程的名称
PID：进程标识符
USER：进程所有者
FD：文件描述符。主要有：
	cwd：应用程序当前工作目录，这是该应用程序启动的目录，除非它本身对这个目录进行更改
	txt：该类型的文件是程序代码，如应用程序二进制文件本身或共享库，如上列表中显示的 /sbin/init 程序
	lnn：库引用（AIX）
	err：FD 信息错误
	jld：监狱目录（FreeBSD）
	ltx：共享库文本（代码和数据）
	mxx：十六进制内存映射类型号 xx
	m86：DOS合并映射文件
	mem：内存映射文件
	mmap：内存映射设备
	pd：父目录
	rtd：根目录
	tr：内核跟踪文件（OpenBSD）
	v86：VP/ix 映射文件
	0：标准输出
	1：标准输入
	2：标准错误
	
	文件描述符后一般还跟着文件状态模式：
	r：只读模式
	w：写入模式
	u：读写模式
	空格：文件的状态模式为 unknow，且没有锁定
	-：文件的状态模式为 unknow，且被锁定
	
	同时在文件状态模式后面，还跟着相关的锁：
	N：对于未知类型的 Solaris NFS 锁
	r：文件部分的读锁
	R：整个文件的读锁
	w：文件的部分写锁
	W：整个文件的写锁
	u：任何长度的读写锁
	U：用于未知类型的锁
	x：用于部分文件上的 SCO OpenServer Xenix 锁
	X：用于整个文件上的 SCO OpenServer Xenix 锁
	space：无锁

TYPE：文件类型。常见的文件类型有：
	REG：普通文件
	DIR：表示目录
	CHR：表示字符类型
	BLK：块设备类型
	UNIX：UNIX 域套接字
	FIFO：先进先出队列
	IPv4（6）：IPv4（6） 套接字
DEVICE：磁盘名称
SIZE：文件的大小或文件偏移量（以字节为单位）
NODE：索引节点
NAME：打开文件的确切名称
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

例如：

root@CQUPTLEI:~# lsof -i udp
COMMAND       PID            USER   FD   TYPE   DEVICE SIZE/OFF NODE NAME
systemd         1            root   37u  IPv4     1001      0t0  UDP *:sunrpc 
systemd         1            root   39u  IPv6     1007      0t0  UDP *:sunrpc 
rpcbind       696            _rpc    5u  IPv4     1001      0t0  UDP *:sunrpc 
rpcbind       696            _rpc    7u  IPv6     1007      0t0  UDP *:sunrpc 
systemd-n     801 systemd-network   19u  IPv4    22416      0t0  UDP CQUPTLEI:bootpc 
systemd-r     803 systemd-resolve   12u  IPv4    21343      0t0  UDP localhost:domain 
avahi-dae     820           avahi   12u  IPv4    24274      0t0  UDP *:mdns 
avahi-dae     820           avahi   13u  IPv6    24275      0t0  UDP *:mdns 

1
2
3
4
5
6
7
8
9
10
11

三、常用 lsof 操作

3.1 查看某文件的相关进程

root@CQUPTLEI:~# lsof /bin/bash
COMMAND       PID USER  FD   TYPE DEVICE SIZE/OFF   NODE NAME
mysqld_sa    1188 root txt    REG  252,2  1183448 132810 /usr/bin/bash
sh           3495 root txt    REG  252,2  1183448 132810 /usr/bin/bash
bash      1520268 root txt    REG  252,2  1183448 132810 /usr/bin/bash
bash      1520271 root txt    REG  252,2  1183448 132810 /usr/bin/bash
bash      1666912 root txt    REG  252,2  1183448 132810 /usr/bin/bash

1
2
3
4
5
6
7
8

3.2 网络相关：-i

-i 选项用于列出所有打开了网络套接字（TCP 和 UDP）的进程。

常用的用法：

• -i：列出所有打开了网络套接字（TCP 和 UDP）的进程。
• -i tcp：列出所有打开了 TCP 网络连接的进程。
• -i :<port>：列出某个端口被哪些进程打开了。
• -i @<ip_address>：列出某个 IP 地址被哪些进程打开了。
• -u <username> -i：列出某个用户打开了哪些网络连接。

例：

root@CQUPTLEI:~# lsof -i :443
COMMAND PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
nginx   978 root   10u  IPv4  26143      0t0  TCP *:https (LISTEN)
nginx   983  www   10u  IPv4  26143      0t0  TCP *:https (LISTEN)
nginx   984  www   10u  IPv4  26143      0t0  TCP *:https (LISTEN)

1
2
3
4
5
6

3.3 指定进程号打开的文件：-p

-p 选项用于列出指定进程 ID 所打开的文件。

root@CQUPTLEI:~# lsof -p 1
COMMAND PID USER   FD      TYPE             DEVICE SIZE/OFF       NODE NAME
systemd   1 root  cwd       DIR              252,2     4096          2 /
systemd   1 root  rtd       DIR              252,2     4096          2 /
systemd   1 root  txt       REG              252,2  1620224     136385 /usr/lib/systemd/systemd
systemd   1 root  mem       REG              252,2  1369384     134892 /usr/lib/x86_64-linux-gnu/libm-2.31.so
systemd   1 root  mem       REG              252,2   178528     136839 /usr/lib/x86_64-linux-gnu/libudev.so.1.6.17
systemd   1 root  mem       REG              252,2  1575112     138611 /usr/lib/x86_64-linux-gnu/libunistring.so.2.1.0

1
2
3
4
5
6
7
8
9

3.4 指定用户打开的文件：-u

-u 选项用于列出指定用户所属的进程所打开的文件。

root@CQUPTLEI:~# ls /home
lighthouse  ubuntu  www
root@CQUPTLEI:~# lsof -u www
lsof: WARNING: can't stat() fuse.gvfsd-fuse file system /run/user/134/gvfs
      Output information may be incomplete.
COMMAND     PID USER   FD      TYPE             DEVICE  SIZE/OFF   NODE NAME
nginx       983  www  cwd       DIR              252,2      4096      2 /
nginx       983  www  rtd       DIR              252,2      4096      2 /
nginx       983  www  txt       REG              252,2   5060432 912450 /www/server/nginx/sbin/nginx
nginx       983  www  mem       REG              252,2    239896 131210 /usr/lib/x86_64-linux-gnu/libnss_systemd.so.2
nginx       983  www  DEL       REG                0,1            26134 /dev/zero
nginx       983  www  DEL       REG                0,1            26133 /dev/zero
nginx       983  www  DEL       REG                0,1            26132 /dev/zero
nginx       983  www  DEL       REG                0,1            26131 /dev/zero

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

3.5 某进程打开的文件：-c

-c 选项用于列出指定命令所打开的文件，不需要进程的完整名称，可以使用进程名的一部分。

root@CQUPTLEI:~# lsof -c alist
COMMAND PID USER   FD      TYPE             DEVICE SIZE/OFF    NODE NAME
alist   941 root  cwd       DIR              252,2     4096 1041395 /opt/alist
alist   941 root  rtd       DIR              252,2     4096       2 /
alist   941 root  txt       REG              252,2 43084616 1041396 /opt/alist/alist
alist   941 root  mem-r     REG              252,2    32768 1041407 /opt/alist/data/data.db-shm
alist   941 root    0r      CHR                1,3      0t0       6 /dev/null
alist   941 root    1u     unix 0xffffa05a31b67000      0t0   26720 type=STREAM
alist   941 root    2u     unix 0xffffa05a31b67000      0t0   26720 type=STREAM

1
2
3
4
5
6
7
8
9
10

3.6 复合查询

（1）同时满足多个条件：-a

用户www打开的tcp 443端口，逻辑与（and）

root@CQUPTLEI:~# lsof -a -u   www -i tcp:443
COMMAND PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
nginx   983  www   10u  IPv4  26143      0t0  TCP *:https (LISTEN)
nginx   984  www   10u  IPv4  26143      0t0  TCP *:https (LISTEN)
1
2
3
4

（2）满足每个条件

不使用-a时，多个选项之间的关系是或（or）

root@CQUPTLEI:~# lsof -c ssh -c alist
1

输出所有名称含有ssh、alist的进程打开的文件。

四、进阶用法

4.1用文本处理命令（grep\awk\sed）结合使用

例： 与grep命令结合使用

打印服务器所有tcp连接中，文件描述符为10的连接：

root@CQUPTLEI:~# lsof -i tcp | grep "10u"
alist         941            root   10u  IPv6    31063      0t0  TCP *:5244 (LISTEN)
nginx         978            root   10u  IPv4    26143      0t0  TCP *:https (LISTEN)
nginx         983             www   10u  IPv4    26143      0t0  TCP *:https (LISTEN)
nginx         984             www   10u  IPv4    26143      0t0  TCP *:https (LISTEN)
BT-Panel     2638            root   10u  IPv4 23149843      0t0  TCP CQUPTLEI:8888->internettl.org:52156 (ESTABLISHED)
1
2
3
4
5
6

|为管道符，表示将左边的输出作为右边的输入

例： 与awk命令结合使用

对Linux的dns服务器（named）打开的tcp连接，按照描述符升序打印

lsof -i tcp -n| awk '/named/{print $1,$2,$3,$4,$5,$6,$6,$8,$9}' | sort -n -k 4
1

root@CQUPTLEI:~# lsof -i tcp -n| awk '/named/{print $1,$2,$3,$4,$5,$6,$6,$8,$9}' | sort -n -k 4
named 945 bind 22u IPv4 29095 29095 TCP 127.0.0.1:953
named 945 bind 26u IPv4 26405 26405 TCP 127.0.0.1:domain
named 945 bind 27u IPv4 26405 26405 TCP 127.0.0.1:domain
named 945 bind 28u IPv4 26405 26405 TCP 127.0.0.1:domain
named 945 bind 32u IPv4 28479 28479 TCP 10.0.8.5:domain
named 945 bind 33u IPv4 28479 28479 TCP 10.0.8.5:domain
named 945 bind 34u IPv4 28479 28479 TCP 10.0.8.5:domain
named 945 bind 37u IPv6 26406 26406 TCP [::1]:domain
named 945 bind 38u IPv6 26406 26406 TCP [::1]:domain
named 945 bind 39u IPv6 26406 26406 TCP [::1]:domain
named 945 bind 42u IPv6 28513 28513 TCP [fe80::5054:ff:fe4b:ad85]:domain
named 945 bind 43u IPv6 28513 28513 TCP [fe80::5054:ff:fe4b:ad85]:domain
named 945 bind 44u IPv6 28513 28513 TCP [fe80::5054:ff:fe4b:ad85]:domain
named 945 bind 45u IPv6 29096 29096 TCP [::1]:953
named 945 bind 48u IPv4 36766 36766 TCP 172.17.0.1:domain
named 945 bind 49u IPv4 36766 36766 TCP 172.17.0.1:domain
named 945 bind 50u IPv4 36766 36766 TCP 172.17.0.1:domain

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

sort -n -k 4：对结果排序，按照第四列数字升序

4.2 更多实用选项

lsof还有很多选项，比如：对文件夹递归搜索

-?, -h 
	显示帮助信息
-a
参数被视为逻辑与 AND，会影响全部的参数
-A A
	在配置了 AFS 分布式网络文件系统的系统上可用，其 AFS 内核代码是通过动态模块实现的。通过 A 指定备用名称列表文件，在该文件中可以找到动态模块的内核地址
-b
	避免 lsof 因调用可能阻塞的内核函数而产生阻塞，比如 lstat(2)、readlink(2) 和 stat(2) 等内核函数
-c C
	显示出以字符或字符串 C 开头的命令程序开启的文件，如 lsof -c init。如果 C 以斜杠 / 开头和结尾，则斜杠之间的字符被解释为正则表达式。该选项可多次指定
+c W
	指定 COMMAND 列的宽度，单位字符。默认为 9
-C
	禁用从内核的名称缓存中报告任何路径名
-D D
	指导 lsof 使用设备缓存文件。该选项的使用有时受到限制。-D 必须后面跟着一个函数字母，函数字母后面可以有一个路径名称。lsof 识别以下功能字母：
	?	报告设备缓存文件路径
	b	构建设备缓存文件
	i	忽略设备缓存文件
	r	读取设备缓存文件
	u	读取并更新设备缓存文件
+D D
	递归搜索目录 D。如显示在 /usr/local 及其子目录下被程序开启的文件：lsof +D /usr/local
+d D
	 非递归搜索目录 D。如显示在 /usr/local 下被程序开启的文件：lsof +d /usr/local
-d FD
	指定文件描述符列表，可以采用逗号分隔，也可以指定范围。比如 1,2,3 或 1-3。如果前面包含尖号，表示排除。如显示 FD 为 4 的进程：lsof -d 4
+|-e S
	豁免（exempt）路径名称为 S 的文件系统不受可能阻塞的内核函数调用的影响。+e 选项豁免 stat(2)、lstat(2) 和大多数 readlink(2) 内核函数调用。-e 选项只能豁免 stat(2) 和 lstat(2) 内核函数调用
+|-E
	+E 指定使用端点信息显示 Linux 管道、Linux UNIX 套接字和 Linux 伪终端文件，并显示端点的文件。-E 则不显示端点的文件
-F LIST
	指定字符列表 LIST，选择输出给另一程序处理的字段，各字段对应的字符见下文
+|-f [cfgGn]
	f 本身澄清了路径名参数的解释方式。当后面跟着 c、f、g、G 或 n 时，它指定要启用（+）或抑制（-）内核文件结构信息。
	c 文件结构使用计数（not Linux）
	f 文件结构地址（not Linux）
	g 文件标志缩写（Linux 2.6.22 及更高版本）
	G 十六进制文件标志（Linux 2.6.22 及更高版本）
	n 文件结构节点地址（not Linux）
-g [PGID]
	选择或排除属于指定进程组的进程打开的文件。 进程组 ID 使用逗号分隔，如果 PGID 前面包含尖号，表示排除。若没有指定 PGID，则显示全部。如显示 PGID 为 6 和 7 的进程：lsof -g6,7
-i [I]
	选择其 Internet 地址与 -i 中指定的地址匹配的文件，若没有相关地址被指定，则监听全部。
	用法： lsof -i [46][protocol][@hostname|hostaddr][:serivce|port]
	说明：4 6 分别表示 IPv4 和 IPv6   
    protocol： TCP or UDP   
    hostname：主机名
    hostaddr：IPv4 或 IPv6 地址
    service：主机提供的服务的名称，即 /etc/services 中的 service name
    port：端口号
-K
	在支持任务（线程）报告方式的系统上输出进程的任务（线程）列表
-k K
	指定内核名称列表文件，代替 /vmunix、/mach 等
-l
	禁止将 user ID 转换为登录的名称，默认是登录名称
+|-L [L]
	+ 或 - 表示开启或关闭显示文件连接数，如果只有单纯的 +L，后面没有任何数字，则表示显示全部，如果后面有数字，只有文件连接数少于该数字的会被列出
+|-m M
	-m 指定一个内核内存文件 M ，代替 /dev/kmem 或 /dev/mem。+m 将装载补充文件写入标准输出文件
+|-M
	启用或禁用报告本地 TCP、UDP 和 UDPLITE 端口的端口映射器注册
-n
	不将 IP 地址转换为主机名
-N
	显示 NFS 文件
-o
	始终显示文件偏移量。它导致 SIZE/OFF 输出列标题更改为 OFFSET
-o O
	指定在文件偏移量的 0t 之后要打印的小数位数
-O
	指示 lsof 避免被某些内核操作阻塞。即在分叉的子进程中执行它们。虽然使用此选项将减少 lsof 启动开销，但也可能导致 lsof 在内核不响应函数时挂起。谨慎使用此选项
-P
	禁止将网络文件的端口号转换为端口名
-p S
	排除或选择进程的文件列表，进程 ID 列表使用逗号分隔，如 123 或 123,^456。尖号表示排除指定 PID
-R
	使用列 PPID 列出父进程的 PID
+|-r [T[mFMT]]
 	控制 lsof 不断重复执行，间隔 T 秒，默认为 15s。-r 永远不断地执行，直到收到中断讯号（ctrl+ c），+r 一直执行，直到没有文件被显示。可选的 mFMT 参数指定标记线的格式，格式 FMT 遵循 C 语言标准库函数 strftime(3) 的规范
-S [T]
	指定内核函数 lstat(2)、readlink(2) 和 stat(2) 的可选超时秒值，否则可能会死锁。t 的最小值是 2；默认值是 15
-s [P:S]
	列出文件的大小，若该文件没有大小，则留下空白。它导致 SIZE/OFF 输出列标题更改为 SIZE。P 表示协议名称 TCP  or  UDP，S 表示逗号分隔的协议状态
-T [T]
	-T 没有参数则禁用 TCP/TPI 信息报告。跟如下参数，则显示指定 TCP/TPI 信息：
	f 选择报告套接字选项，状态和值，以及 TCP标志和值
	q 选择队列长度
	s 选择连接状态
	w 选择窗口大小
-t
	生成只有进程标识符而没有标题的简洁输出，这样输出可以通过管道传递给 kill(1) 杀死
-U
	选择 UNIX 域套接字文件的列表
-u USERS
	选择登录名或用户 ID 位于逗号分隔集 USERS 中的用户的文件列表。如 root 或 548,root”，如果用户名或用户 ID 前有尖号 ^，表示排除
-V
	指示被要求列出但找不到的项
-v
    显示版本信息
+|-w
	   启用（＋）或禁用（－）警告消息
-X
	Linux 下跳过所有打开的 TCP、UDP 和 UDPLITE IPv4 和 IPv6 文件的信息报告
-x [fl]
	一般与选项 +d 和 +D 选项，指示搜索时是否跨文件系统和符号链接。-x 不跟任何参数时，表示跨文件系统和符号链接
-Z [Z]
	指定如何处理 SELinux 安全上下文。当在运行的 Linux 内核中禁用SELinux时，Z 字段将被抑制输出。-Z 选项不跟参数，如 -Z -，安全上下文将列在 SECURITY-CONTEXT 列中输出
--
	双减号表示选项结束
NAMES
	列出指定文件，符号链接在使用前将被解析
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113