使用 lsof 查找打开的文件

时间 2021-01-30

标签 html linux 数据库 apache bash 网络 ssh ide 工具栏目 Linux 繁體版

原文原文链接

经过查看打开的文件，了解更多关于系统的信息。了解应用程序打开了哪些文件或者哪一个应用程序打开了特定的文件，做为系统管理员，这将使得您可以做出更好的决策。例如，您不该该卸载具备打开文件的文件系统。使用 lsof，您能够检查打开的文件，并根据须要在卸载以前停止相应的进程。一样地，若是您发现了一个未知的文件，那么能够找出究竟是哪一个应用程序打开了这个文件。html

在 UNIX 环境中，文件无处不在，这便产生了一句格言：“任何事物都是文件”。经过文件不只仅能够访问常规数据，一般还能够访问网络链接和硬件。在有些状况下，当您使用 ls 请求目录清单时，将出现相应的条目。在其余状况下，如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字，不存在相应的目录清单。可是在后台为该应用程序分配了一个文件描述符，不管这个文件的本质如何，该文件描述符为应用程序与基础操做系统之间的交互提供了通用接口。linux

由于应用程序打开文件的描述符列表提供了大量关于这个应用程序自己的信息，因此可以查看这个列表将是颇有帮助的。完成这项任务的实用程序称为 lsof，它对应于“list open files”（列出打开的文件）。几乎在每一个 UNIX 版本中都有这个实用程序，但奇怪的是，大多数供应商并无将其包含在操做系统的初始安装中。要获取更多关于 lsof 的信息，请参见参考资料部分。数据库

lsof 简介

只需输入 lsof 就能够生成大量的信息，如清单 1 所示。由于 lsof 须要访问核心内存和各类文件，因此必须以 root 用户的身份运行它才可以充分地发挥其功能。apache

清单 1. lsof 的示例输出

bash-3.00# lsof 
COMMAND    PID   USER   FD   TYPE        DEVICE SIZE/OFF      NODE NAME
sched        0   root  cwd   VDIR         136,8     1024         2 /
init         1   root  cwd   VDIR         136,8     1024         2 /
init         1   root  txt   VREG         136,8    49016      1655 /sbin/init
init         1   root  txt   VREG         136,8    51084      3185 /lib/libuutil.so.1
vi        2013   root    3u  VREG         136,8        0      8501 /var/tmp/ExXDaO7d
...

每行显示一个打开的文件，除非另外指定，不然将显示全部进程打开的全部文件。Command、PID 和 User 列分别表示进程的名称、进程标识符 (PID) 和全部者名称。Device、SIZE/OFF、Node 和 Name 列涉及到文件自己的信息，分别表示指定磁盘的名称、文件的大小、索引节点（文件在磁盘上的标识）和该文件的确切名称。根据 UNIX 版本的不一样，可能将文件的大小报告为应用程序在文件中进行读取的当前位置（偏移量）。清单 1 来自一台能够报告该信息的 Sun Solaris 10 计算机，而 Linux 没有这个功能。bash

FD 和 Type 列的含义最为模糊，它们提供了关于文件如何使用的更多信息。FD 列表示文件描述符，应用程序经过文件描述符识别该文件。Type 列提供了关于文件格式的更多描述。咱们来具体研究一下文件描述符列，清单 1 中出现了三种不一样的值。cwd 值表示应用程序的当前工做目录，这是该应用程序启动的目录，除非它自己对这个目录进行更改。txt 类型的文件是程序代码，如应用程序二进制文件自己或共享库，再好比本示例的列表中显示的 init 程序。最后，数值表示应用程序的文件描述符，这是打开该文件时返回的一个整数。在清单 1 输出的最后一行中，您能够看到用户正在使用 vi 编辑 /var/tmp/ExXDaO7d，其文件描述符为 3。u 表示该文件被打开并处于读取/写入模式，而不是只读 (r) 或只写 (w) 模式。有一点不是很重要但却颇有帮助，初始打开每一个应用程序时，都具备三个文件描述符，从 0 到 2，分别表示标准输入、输出和错误流。正由于如此，大多数应用程序所打开的文件的 FD 都是从 3 开始。网络

与 FD 列相比，Type 列则比较直观。根据具体操做系统的不一样，您会发现将文件和目录称为 REG 和 DIR（在 Solaris 中，称为 VREG 和VDIR）。其余可能的取值为 CHR 和 BLK，分别表示字符和块设备；或者 UNIX、FIFO 和 IPv4，分别表示 UNIX 域套接字、先进先出 (FIFO) 队列和网际协议 (IP) 套接字。ssh

转到 /proc 目录

尽管与使用 lsof 没有什么直接的关系，但对 /proc 目录进行简要的介绍是有必要的。/proc 是一个目录，其中包含了反映内核和进程树的各类文件。这些文件和目录并不存在于磁盘中，所以当您对这些文件进行读取和写入时，其实是在从操做系统自己获取相关信息。大多数与 lsof相关的信息都存储于以进程的 PID 命名的目录中，因此 /proc/1234 中包含的是 PID 为 1234 的进程的信息。ide

在 /proc 目录的每一个进程目录中存在着各类文件，它们可使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号连接和其余系统信息。lsof 实用程序使用该信息和其余关于内核内部状态的信息来产生其输出。稍后我将把 lsof 的输出与 /proc 目录中的信息联系起来。工具

常见用法

前面，我向您介绍了如何简单地运行不带任何参数的 lsof，以便显示关于每一个进程所打开的文件的信息。本文余下的部分将重点关注如何使用lsof 来显示所需的信息以及如何正确地对其进行解释。ui

查找应用程序打开的文件

lsof 常见的用法是查找应用程序打开的文件的名称和数目。您可能想尝试找出某个特定应用程序将日志数据记录到何处，或者正在跟踪某个问题。例如，UNIX 限制了进程可以打开文件的数目。一般这个数值很大，因此不会产生问题，而且在须要时，应用程序能够请求更大的值（直到某个上限）。若是您怀疑应用程序耗尽了文件描述符，那么可使用 lsof 统计打开的文件数目，以进行验证。

要指定单个进程，可使用 -p 参数，后面加上该进程的 PID。由于这样作不只会返回该应用程序所打开的文件，还会返回共享库和代码，因此一般须要对输出进行筛选。要完成此任务，可使用 -d 标志根据 FD 列进行筛选，使用 -a 标志表示两个参数都必须知足 (AND)。若是没有 -a标志，缺省的状况是显示匹配任何一个参数 (OR) 的文件。清单 2 显示了 sendmail 进程打开的文件，并使用 txt 对这些文件进行筛选。

清单 2. 带有 PID 筛选器并进行 txt 文件描述符筛选的 lsof 输出

sh-3.00# lsof -a -p 605 -d ^txt
COMMAND  PID USER   FD   TYPE  DEVICE SIZE/OFF     NODE NAME
sendmail 605 root  cwd   VDIR  136,8     1024    23554 /var/spool/mqueue
sendmail 605 root    0r  VCHR  13,2            6815752 /devices/pseudo/mm@0:null
sendmail 605 root    1w  VCHR  13,2            6815752 /devices/pseudo/mm@0:null
sendmail 605 root    2w  VCHR  13,2            6815752 /devices/pseudo/mm@0:null
sendmail 605 root    3r  DOOR             0t0       58
		/var/run/name_service_door(door to nscd[81]) (FA:->0x30002b156c0)
sendmail 605 root    4w  VCHR  21,0           11010052 
						/devices/pseudo/log@0:conslog->LOG
sendmail 605 root    5u  IPv4 0x300010ea640      0t0      TCP *:smtp (LISTEN)
sendmail 605 root    6u  IPv6 0x3000431c180      0t0      TCP *:smtp (LISTEN)
sendmail 605 root    7u  IPv4 0x300046d39c0      0t0      TCP *:submission (LISTEN)
sendmail 605 root    8wW VREG         281,3       32  8778600 /var/run/sendmail.pid

清单 2 为 lsof 指定了三个参数。第一个是 -a，它表示当全部的参数都为真时，才显示这个文件。第二个参数是 -p 605，它限制仅输出 PID 为 605 的进程，能够经过 ps 命令获取这个信息。最后一个参数 -d ^txt，它表示筛选出其中 txt 类型的记录（脱字符号 [^] 表示排除）。

清单 2 的输出提供了关于进程行为的信息。如 cwd 行所示，该应用程序的工做目录为 /var/spool/mqueue。文件描述符 0、1 和 2 分配给了 /dev/null（Solaris 大量使用符号连接，因此这里显示了相应的伪设备）。FD 3 是一个 Solaris 门（高速远程过程调用 (RPC) 接口），以只读模式打开。FD 4 中的内容比较有趣，由于它是一个字符设备的只读句柄，实质上是 /dev/log。从这个文件中，您能够收集该应用程序向 UNIX syslog 守护进程进行的记录，因此 /etc/syslog.conf 规定了日志文件的位置。

做为一个网络应用程序，sendmail 对网络端口进行监听。文件描述符五、6 和 7 能够告诉您，该应用程序正以 IPv4 和 IPv6 模式监听简单邮件传输协议 (SMTP) 端口，并以 IPv4 模式监听提交端口。最后一个文件描述符是只写的，而且指向 /var/run/sendmail.pid。FD 列中的大写 W 表示该应用程序具备对整个文件的写锁。该文件用于确保每次只能打开一个应用程序实例。

查找打开某个文件的应用程序

在其余状况下，您有一个文件或目录，而且须要知道哪一个应用程序控制了该文件（打开了该文件）。清单 2 显示了由 sendmail 进程打开了 /var/run/sendmail.pid。若是您不知道这个信息，那么在给定文件名的状况下，lsof 能够提供该信息。清单 3 显示了相应的输出。

清单 3. 要求 lsof 显示关于某个文件的信息

bash-3.00# lsof /var/run/sendmail.pid
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
sendmail 605 root    8wW VREG  281,3       32 8778600 /var/run/sendmail.pid

正如输出所示，进程 sendmail（PID 为 605）控制了文件 /var/run/sendmail.pid，而且经过排它锁打开该文件以便进行写入。若是出于某种缘由，您须要删除这个文件，那么正确的作法是停止该进程，而不是直接删除这个文件。不然，这个守护进程下次可能没法正常启动，或者可能稍后会启动另外一个实例，从而致使争用。

有时您只知道在文件系统的某处打开了文件。在卸载文件系统时，若是该文件系统中有任何打开的文件，那么操做将会失败。经过指定装入点的名称，您可使用 lsof 显示一个文件系统中全部打开的文件。清单 4 显示了如未尝试卸载 /export/home，而后使用 lsof 找出谁在使用该文件系统。

清单 4. 使用 lsof 找出谁在使用文件系统

bash-3.00# umount /export/home
umount: /export/home busy
bash-3.00# lsof /export/home
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
bash    1943 root  cwd   VDIR  136,7     1024    4 /export/home/sean
bash    2970 sean  cwd   VDIR  136,7     1024    4 /export/home/sean
ct      3030 sean  cwd   VDIR  136,7     1024    4 /export/home/sean
ct      3030 sean    1w  VREG  136,7        0   25 /export/home/sean/output

在这个示例中，用户 sean 正在其 home 目录中进行一些操做。有两个 bash（一种 Shell）实例正在运行，而且当前目录设置为 sean 的 home 目录。还有一个名为 ct 的应用程序正运行于相同的目录，而且其标准输出（文件描述符 1）重定向到一个名为 output 的文件。要成功地卸载 /export/home，应该在通知用户以确保状况正常以后，停止这些进程。

这个示例说明了应用程序的当前工做目录很是重要，由于它仍保持着文件资源，而且能够防止文件系统被卸载。这就是为何大部分守护进程（后台进程）将它们的目录更改成根目录、或服务特定的目录（如 sendmail 示例中的 /var/spool/mqueue）的缘由，以免该守护进程阻止卸载不相关的文件系统。若是 sendmail 从 /export/home/sean 目录启动，而且没有将其目录更改成 /var/spool/mqueue，那么在卸载 /export/home 前必须停止它。

若是您对非装入点目录中打开的文件感兴趣，那么必须经过 +d 或 +D 指定该目录的名称，具体使用其中的哪个标志取决于您须要递归到子目录（+D）或者不须要递归到子目录（+d）。例如，要查看 /export/home/sean 中全部打开的文件，可使用 lsof +D /export/home/sean。在前面的示例中，相关的目录是一个装入点，而这里与前面的示例存在细微的差异，而且限制了 lsof 和内核之间的交互。这还会引发潜在的问题，即 lsof /export/home 与 lsof /export/home/（请注意尾部的斜杠）有所区别。第一种方式能够正常工做，由于它指向了装入点。第二种方式不会生成任何输出，由于它指向了目录。若是您在 Shell 中使用 Tab 键自动完成命令，那么可能碰到这个问题，其中会帮助您添加结尾的斜杠。在这种状况下，您能够删除这个斜杠或者使用 +D 指定目录。前者是首选的方法，由于与指定任意的目录相比，其执行速度更快。

不常见的用法

在前面的部分中，咱们研究了 lsof 的基本用法，即显示打开的文件和控制它们的进程之间的关系。当您想对系统进行一些烦琐的操做，而又不但愿破坏别人重要的文档时，这种方法颇有帮助。您还可使用相同的方法执行一些高难度的 UNIX 操做。

恢复删除的文件

当 UNIX 计算机受到***时，常见的状况是日志文件被删除，以掩盖***者的踪影。管理错误也可能致使意外删除重要的文件，好比在清理旧日志时，意外地删除了数据库的活动事务日志。有时能够恢复这些文件，而且 lsof 能够为您提供帮助。

当进程打开了某个文件时，只要该进程保持打开该文件，即便将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然能够向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程以外，这个文件是不可见的，由于已经删除了其相应的目录条目。

前面曾在转到 /proc 目录部分中说过，经过在适当的目录中进行查找，您能够访问进程的文件描述符。在随后的内容中，您看到了 lsof 能够显示进程的文件描述符和相关的文件名。您能明白个人意思吗？

希望它真的这么简单！当您向 lsof 传递文件名时，好比在 lsof /file/I/deleted 中，它首先使用 stat() 系统调用得到有关该文件的信息，不幸的是，这个文件已经被删除。在不一样的操做系统中，lsof 可能能够从核心内存中捕获该文件的名称。清单 5 显示了一个 Linux 系统，其中意外地删除了 Apache 日志，我正使用 grep 工具查找是否有人打开了该文件。

清单 5. 在 Linux 中使用 lsof 查找删除的文件

# lsof | grep error_log
httpd      2452     root    2w      REG       33,2      499    3090660
					/var/log/httpd/error_log (deleted)
httpd      2452     root    7w      REG       33,2      499    3090660
					/var/log/httpd/error_log (deleted)
... more httpd processes ...

在这个示例中，您能够看到 PID 2452 打开文件的文件描述符为 2（标准错误）和 7。所以，能够在 /proc/2452/fd/7 中查看相应的信息，如清单 6 所示。

清单 6. 经过 /proc 查找删除的文件

# cat /proc/2452/fd/7
[Sun Apr 30 04:02:48 2006] [notice] Digest: generating secret for digest authentication
[Sun Apr 30 04:02:48 2006] [notice] Digest: done
[Sun Apr 30 04:02:48 2006] [notice] LDAP: Built with OpenLDAP LDAP SDK

Linux 的优势在于，它保存了文件的名称，甚至能够告诉咱们它已经被删除。在遭到破坏的系统中查找相关内容时，这是很是有用的内容，由于***者一般会删除日志以隐藏他们的踪影。Solaris 并不提供这些信息。然而，咱们知道 httpd 守护进程使用了 error_log 文件，因此可使用ps 命令找到这个 PID，而后能够查看这个守护进程打开的全部文件。

清单 7. 在 Solaris 中查找删除的文件

# lsof -a -p 8663 -d ^txt
COMMAND  PID   USER   FD   TYPE        DEVICE SIZE/OFF    NODE NAME
httpd   8663 nobody  cwd   VDIR         136,8     1024       2 /
httpd   8663 nobody    0r  VCHR          13,2          6815752 /devices/pseudo/mm@0:null
httpd   8663 nobody    1w  VCHR          13,2          6815752 /devices/pseudo/mm@0:null
httpd   8663 nobody    2w  VREG         136,8      185  145465 / (/dev/dsk/c0t0d0s0)
httpd   8663 nobody    4r  DOOR                    0t0      58 /var/run/name_service_door
						(door to nscd[81]) (FA:->0x30002b156c0)
httpd   8663 nobody   15w  VREG         136,8      185  145465 / (/dev/dsk/c0t0d0s0)
httpd   8663 nobody   16u  IPv4 0x300046d27c0      0t0     TCP *:80 (LISTEN)
httpd   8663 nobody   17w  VREG         136,8        0  145466 
                                                          /var/apache/logs/access_log
httpd   8663 nobody   18w  VREG         281,3        0 9518013 /var/run (swap)

我使用 -a 和 -d 参数对输出进行筛选，以排除代码程序段，由于我知道须要查找的是哪些文件。Name 列显示出，其中的两个文件（FD 2 和 15）使用磁盘名代替了文件名，而且它们的类型为 VREG（常规文件）。在 Solaris 中，删除的文件将显示文件所在的磁盘的名称。经过这个线索，就能够知道该 FD 指向一个删除的文件。实际上，查看 /proc/8663/fd/15 就能够获得所要查找的数据。

若是能够经过文件描述符查看相应的数据，那么您就可使用 I/O 重定向将其复制到文件中，如 cat /proc/8663/fd/15 > /tmp/error_log 。此时，您能够停止该守护进程（这将删除 FD，从而删除相应的文件），将这个临时文件复制到所需的位置，而后从新启动该守护进程。

对于许多应用程序，尤为是日志文件和数据库，这种恢复删除文件的方法很是有用。正如您所看到的，有些操做系统（以及不一样版本的 lsof）比其余的系统更容易查找相应的数据。

查找网络链接

网络链接也是文件，这意味着可使用 lsof 得到关于它们的信息。您曾在清单 2 中看到过这样的示例。该示例假设您已经知道 PID，可是有时候并不是如此。若是您只知道相应的端口，那么可使用 -i 参数利用套接字信息进行搜索。清单 8 显示了对 TCP 端口 25 的搜索。

清单 8. 查找监听端口 25 的进程

# lsof -i :25
COMMAND  PID USER   FD   TYPE        DEVICE SIZE/OFF NODE NAME
sendmail 605 root    5u  IPv4 0x300010ea640      0t0  TCP *:smtp (LISTEN)
sendmail 605 root    6u  IPv6 0x3000431c180      0t0  TCP *:smtp (LISTEN)

须要以 protocol:@ip:port 的形式向 lsof 实用程序传递相关信息，其中的 protocol 为 TCP 或 UDP（可使用 4 或 6 做为前缀，表示 IP 的版本），IP 为可解析的名称或 IP 地址，而 port 为数字或表示该服务的名称（来自 /etc/services）。须要一个或多个元素（端口、IP、协议）。在清单 8 中，:25 表示端口 25。输出显示，进程 605 正在使用 IPv6 和 IPv4 监听端口 25。若是您对 IPv4 不感兴趣，那么能够将筛选器改成 6:25，以表示监听端口 25 的 IPv6 套接字，或者直接使用 6 表示全部的 IPv6 链接。

除了显示出这些守护进程正在监听的对象，lsof 还能够发现发生的链接，一样是使用 -i 参数。清单 9 显示了搜索与 192.168.1.10 之间的全部链接。

清单 9. 搜索活动的链接

# lsof -i @192.168.1.10
COMMAND  PID USER   FD   TYPE        DEVICE  SIZE/OFF NODE NAME
sshd    1934 root    6u  IPv6 0x300046d21c0 0t1303608  TCP sun:ssh->linux:40379
							 (ESTABLISHED)
sshd    1937 root    4u  IPv6 0x300046d21c0 0t1303608  TCP sun:ssh->linux:40379
							 (ESTABLISHED)

在这个示例中，sun 和 linux 之间有两个 IPv6 链接。对其进行更仔细的研究能够看出，这些链接来自于两个不一样的进程，但它们倒是相同的，这是由于两台主机是相同的，而且端口也是相同的（ssh 和 40379）。这是因为进入主进程的链接分叉出一个处理程序，并将该套接字传递给它。您还能够看到，名为 sun 的计算机正在使用端口 22 (ssh)，而 linux 具备端口 40379。这表示，sun 是该链接的接收者，由于它关联于该服务的已知端口。40379 是源或临时端口，而且仅对这个链接有意义。

由于，至少在 UNIX 中，套接字是另外一类文件，因此 lsof 能够得到关于这些链接的详细信息，并找出谁对它们负责。

结束语

UNIX 大量使用了文件。做为系统管理员，lsof 容许您对核心内存进行查看，以找出系统当前如何使用这些文件。lsof 最简单的用法能够告诉您哪些进程打开了哪些文件，以及哪些文件由哪些进程打开。在收集关于应用程序工做状况的信息时，或在进行某些可能损坏数据的操做前确保文件未被使用时，这一点特别重要lsof 更高级的用法能够帮助您查找删除的文件，并得到关于网络链接的信息。这是一个功能强大的工具，它几乎能够用于任何地方。

补充：

FD 列中的文件描述符cwd 值表示应用程序的当前工做目录，这是该应用程序启动的目录，除非它自己对这个目录进行更改,txt 类型的文件是程序代码，如应用程序二进制文件自己或共享库，如上列表中显示的 /sbin/init 程序。

其次数值表示应用程序的文件描述符，这是打开该文件时返回的一个整数。如上的最后一行文件/dev/initctl，其文件描述符为 10。u 表示该文件被打开并处于读取/写入模式，而不是只读或只写 (w) 模式。同时还有大写的W 表示该应用程序具备对整个文件的写锁。该文件描述符用于确保每次只能打开一个应用程序实例。初始打开每一个应用程序时，都具备三个文件描述符，从 0 到 2，分别表示标准输入、输出和错误流。因此大多数应用程序所打开的文件的 FD 都是从 3 开始。

与 FD 列相比，Type 列则比较直观。文件和目录分别称为 REG 和 DIR。而CHR 和 BLK，分别表示字符和块设备；或者 UNIX、FIFO 和 IPv4，分别表示 UNIX 域套接字、先进先出 (FIFO) 队列和网际协议 (IP) 套接字。

文章来源：http://www.ibm.com/developerworks/cn/aix/library/au-lsof.html