linux lsof详解和 too many open files

lsof（list open files）是一个列出当前系统打开文件的工具。在linux环境下，任何事物都以文件的形式存在，经过文件不只仅能够访问常规数据，还能够访问网络链接和硬件。因此如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等，系统在后台都为该应用程序分配了一个文件描述符，不管这个文件的本质如何，该文件描述符为应用程序与基础操做系统之间的交互提供了通用接口。由于应用程序打开文件的描述符列表提供了大量关于这个应用程序自己的信息，所以经过lsof工具可以查看这个列表对系统监测以及排错将是颇有帮助的。

lsof打开的文件能够是：

1. 普通文件
2. 目录
3. 网络文件系统的文件
4. 字符或设备文件
5. (函数)共享库
6. 管道，命名管道
7. 符号连接
8. 网络文件（例如：NFS file、网络socket，unix域名socket）
9. 还有其它类型的文件，等等

lsof命令参数

• -a 列出打开文件存在的进程
• -c<进程名> 列出指定进程所打开的文件
• -g 列出GID号进程详情
• -d<文件号> 列出占用该文件号的进程
• +d<目录> 列出目录下被打开的文件
• +D<目录> 递归列出目录下被打开的文件
• -n<目录> 列出使用NFS的文件
• -i<条件> 列出符合条件的进程。（四、六、协议、:端口、 @ip ）
• -p<进程号> 列出指定进程号所打开的文件
• -u 列出UID号进程详情
• -h 显示帮助信息
• -v 显示版本信息

COMMAND   PID USER   FD   TYPE    DEVICE SIZE/OFF    NODE NAME
php              13551  aa  cwd    DIR      8,65     4096 6296021 /home/aa/
php              13551  aa  rtd    DIR       8,2     4096       2 /
php              13551  aa  txt    REG      8,65 26185234 6296097 /home/aa/Lib/php-5.6.7/bin/php
php              13551  aa  mem    REG       8,2    17256 2050338 /lib64/libcom_err.so.2.1
php              13551  aa  mem    REG       8,2   272360 2050193 /lib64/libgssapi_krb5.so.2.2

lsof输出各列信息的意义以下：

• COMMAND：进程的名称

• PID：进程标识符

• USER：进程全部者

• PGID：进程所属组

• FD：文件描述符，应用程序经过文件描述符识别该文件。如cwd、txt等:

• TYPE：文件类型，如DIR、REG等

• DEVICE：指定磁盘的名称

• SIZE：文件的大小

• NODE：索引节点（文件在磁盘上的标识）

• NAME：打开文件的确切名称

（1）cwd：表示current work dirctory，即：应用程序的当前工做目录，这是该应用程序启动的目录，除非它自己对这个目录进行更改
（2）txt ：该类型的文件是程序代码，如应用程序二进制文件自己或共享库
（3）lnn：library references (AIX);
（4）er：FD information error (see NAME column);
（5）jld：jail directory (FreeBSD);
（6）ltx：shared library text (code and data);
（7）mxx ：hex memory-mapped type number xx.
（8）m86：DOS Merge mapped file;
（9）mem：memory-mapped file;
（10）mmap：memory-mapped device;
（11）pd：parent directory;
（12）rtd：root directory;
（13）tr：kernel trace file (OpenBSD);
（14）v86  VP/ix mapped file;
（15）0：表示标准输入
（16）1：表示标准输出
（17）2：表示标准错误
通常在标准输出、标准错误、标准输入后还跟着文件状态模式：r、w、u等
（1）u：表示该文件被打开并处于读取/写入模式
（2）r：表示该文件被打开并处于只读模式
（3）w：表示该文件被打开并处于
（4）空格：表示该文件的状态模式为unknow，且没有锁定
（5）-：表示该文件的状态模式为unknow，且被锁定
同时在文件状态模式后面，还跟着相关的锁
（1）N：for a Solaris NFS lock of unknown type;
（2）r：for read lock on part of the file;
（3）R：for a read lock on the entire file;
（4）w：for a write lock on part of the file;（文件的部分写锁）
（5）W：for a write lock on the entire file;（整个文件的写锁）
（6）u：for a read and write lock of any length;
（7）U：for a lock of unknown type;
（8）x：for an SCO OpenServer Xenix lock on part of the file;
（9）X：for an SCO OpenServer Xenix lock on the entire file;
（10）space：if there is no lock.

其中FD 列中的文件描述符cwd 值表示应用程序的当前工做目录，这是该应用程序启动的目录，除非它自己对这个目录进行更改。txt 类型的文件是程序代码，如应用程序二进制文件自己或共享库，如上列表中显示的 /home/aa/Lib/php-5.6.7/bin/php程序。其次数值表示应用程序的文件描述符，这是打开该文件时返回的一个整数，10u 表示该文件被打开并处于读取/写入模式，而不是只读 ® 或只写 (w) 模式。同时还有大写 的W 表示该应用程序具备对整个文件的写锁。该文件描述符用于确保每次只能打开一个应用程序实例。初始打开每一个应用程序时，都具备三个文件描述符，从 0 到 2，分别表示标准输入、输出和错误流。因此大多数应用程序所打开的文件的 FD 都是从 3 开始。 与 FD 列相比，Type 列则比较直观。文件和目录分别称为 REG 和 DIR。而CHR 和 BLK，分别表示字符和块设备；或者 UNIX、FIFO 和 IPv4，分别表示 UNIX 域套接字、先进先出 (FIFO) 队列和网际协议 (IP) 套接字。

例如，linux限制了进程可以打开文件的数目。在须要时，应用程序能够请求更大的值（直到某个上限）。若是你怀疑应用程序耗尽了文件描述符，那么可使用 lsof 统计打开的文件数目，以进行验证。

使用实例：

一、在卸载文件系统时，若是该文件系统中有任何打开的文件，操做一般将会失败。那么经过lsof能够找出那些进程在使用当前要卸载的文件系统，以下：lsof /GTES11/

二、当Linux计算机受到入侵时，常见的状况是日志文件被删除，以掩盖攻击者的踪影。管理错误也可能致使意外删除重要的文件，好比在清理旧日志时，意外地删除了数据库的活动事务日志。有时能够经过lsof来恢复这些文件。

当进程打开了某个文件时，只要该进程保持打开该文件，即便将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然能够向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程以外，这个文件是不可见的，由于已经删除了其相应的目录索引节点。

在/proc 目录下，其中包含了反映内核和进程树的各类文件。/proc目录挂载的是在内存中所映射的一块区域，因此这些文件和目录并不存在于磁盘中，所以当咱们对这些文件进行读取和写入时，其实是在从内存中获取相关信息。大多数与 lsof 相关的信息都存储于以进程的 PID 命名的目录中，即 /proc/1234 中包含的是 PID 为 1234 的进程的信息。每一个进程目录中存在着各类文件，它们可使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号连接和其余系统信息。lsof 程序使用该信息和其余关于内核内部状态的信息来产生其输出。因此lsof 能够显示进程的文件描述符和相关的文件名等信息。也就是咱们经过访问进程的文件描述符能够找到该文件的相关信息。

当系统中的某个文件被意外地删除了，只要这个时候系统中还有进程正在访问该文件，那么咱们就能够经过lsof从/proc目录下恢复该文件的内容。 假如因为误操做将/var/log/messages文件删除掉了，那么这时要将/var/log/messages文件恢复的方法以下：

首先使用lsof来查看当前是否有进程打开/var/logmessages文件，以下：

# lsof |grep /var/log/messages

syslogd 1283 root 2w REG 3,3 5381017 1773647

/var/log/messages (deleted)

从上面的信息能够看到 PID 1283（syslogd）打开文件的文件描述符为 2。同时还能够看到/var/log/messages已经标记被删除了。所以咱们能够在 /proc/1283/fd/2 （fd下的每一个以数字命名的文件表示进程对应的文件描述符）中查看相应的信息，以下：

# head -n 10 /proc/1283/fd/2

Aug  4 13:50:15 holmes86 syslogd 1.4.1: restart.
Aug  4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started.
Aug  4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 (root@everestbuilder.linux-ren.org) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007
Aug  4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map:
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 0000000000000000 - 000000000009f000 (usable)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable)

从上面的信息能够看出，查看 /proc/1283/fd/2 就能够获得所要恢复的数据。若是能够经过文件描述符查看相应的数据，那么就可使用 I/O 重定向将其复制到文件中，如:

 cat /proc/1283/fd/2 > /var/log/messages

对于许多应用程序，尤为是日志文件和数据库，这种恢复删除文件的方法很是有用。

too many open files

Linux系统默认最大打开文件数为1024个。

一、相关命令：

ulimit –a //查看当前设置

core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 1031578
max locked memory       (kbytes, -l) 64
max memory size         (kbytes, -m) unlimited
open files                      (-n) 65536
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 10240
cpu time               (seconds, -t) unlimited
max user processes              (-u) 30720
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

ulimit –n 2048 //即设成2048，按实际须要设置

二、用户环境参数文件配置：
在/etc/profile中加入以下内容：

if [ $SHELL = "/bin/ksh" ]; then 
ulimit -p 16384 ulimit -n 65536 
else 
ulimit -u 16384 -n 65536 
fi