在Linux系统中,了解哪些文件被哪些进程打开对于系统管理和问题诊断是极其重要的。这正是lsof命令,即List Open Files,发挥其强大功能的场景。本文旨在详细介绍lsof的起源、底层原理、参数意义,常见用法,并详解其返回结果的每个字段含义。此外,我们将讨论在使用lsof命令时需要注意的事项。
1. lsof的起源与演变 🌟
lsof最初由Victor A. Abell在1987年开发,目的是为了帮助Unix系统的管理员和开发人员更好地监控和诊断系统问题。随着时间的推移,lsof已经成为Linux系统中不可或缺的诊断工具。
2. 底层原理 🔍
lsof通过访问Linux的/proc文件系统来获取信息。/proc文件系统包含了系统运行中的进程详情,包括但不限于打开的文件、网络连接等。lsof解析这些信息,并以用户友好的格式呈现。
3. 参数详解 📚
-d <描述符>:显示指定文件描述符的文件。-u <用户>:显示特定用户打开的文件。-c <命令>:显示由特定命令打开的文件。-p <PID>:显示特定进程打开的文件。-i:显示所有网络连接。-n:直接显示IP地址,不进行域名解析,以加快处理速度。-l:显示登录用户名称而非ID。+D <目录>:显示特定目录下打开的文件。-a:用于多个条件的租户
4. 常见用法示例 🛠
4.1. 查看所有网络连接
命令:lsof -i
举例如下:
root@containerd:~# lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
systemd-r 806 systemd-resolve 13u IPv4 482 0t0 UDP localhost:domain
systemd-r 806 systemd-resolve 14u IPv4 483 0t0 TCP localhost:domain (LISTEN)
container 859 root 10u IPv4 20344 0t0 TCP localhost:45543 (LISTEN)
chronyd 883 _chrony 5u IPv4 23928 0t0 UDP localhost:323
chronyd 883 _chrony 6u IPv6 23929 0t0 UDP ip6-localhost:323
sshd 1105 root 4u IPv4 32344 0t0 TCP containerd:ssh->192.168.11.1:64450 (ESTABLISHED)
sshd 1105 root 5u IPv6 20463 0t0 TCP ip6-localhost:6010 (LISTEN)
sshd 1105 root 7u IPv4 20464 0t0 TCP localhost:6010 (LISTEN)
sshd 18290 root 3u IPv4 48775 0t0 TCP *:ssh (LISTEN)
root@containerd:~#
4.2. 查看特定用户打开的文件
命令:lsof -u <username>
举例如下:
root@containerd:~# lsof -u _chrony
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
chronyd 89320 _chrony cwd DIR 253,0 300 128 /
chronyd 89320 _chrony rtd DIR 253,0 300 128 /
chronyd 89320 _chrony txt REG 253,0 285712 292271 /usr/sbin/chronyd (deleted)
chronyd 89320 _chrony mem REG 253,0 526896 134393888 /usr/lib/x86_64-linux-gnu/libgmp.so.10.4.1
chronyd 89320 _chrony mem REG 253,0 289800 134393900 /usr/lib/x86_64-linux-gnu/libhogweed.so.6.4
chronyd 89320 _chrony mem REG 253,0 1743016 134598162 /usr/lib/x86_64-linux-gnu/libunistring.so.2.2.0
chronyd 89320 _chrony mem REG 253,0 2220400 134797001 /usr/lib/x86_64-linux-gnu/libc.so.6
chronyd 89320 _chrony mem REG 253,0 47688 134393875 /usr/lib/x86_64-linux-gnu/libffi.so.8.1.0
chronyd 89320 _chrony mem REG 253,0 92312 134598155 /usr/lib/x86_64-linux-gnu/libtasn1.so.6.6.2
chronyd 89320 _chrony mem REG 253,0 129096 134393907 /usr/lib/x86_64-linux-gnu/libidn2.so.0.3.7
chronyd 89320 _chrony mem REG 253,0 1285888 134538208 /usr/lib/x86_64-linux-gnu/libp11-kit.so.0.3.0
chronyd 89320 _chrony mem REG 253,0 125360 134538237 /usr/lib/x86_64-linux-gnu/libseccomp.so.2.5.3
chronyd 89320 _chrony mem REG 253,0 39024 134318281 /usr/lib/x86_64-linux-gnu/libcap.so.2.44
chronyd 89320 _chrony mem REG 253,0 2000320 134318753 /usr/lib/x86_64-linux-gnu/libgnutls.so.30.31.0
chronyd 89320 _chrony mem REG 253,0 281000 134538195 /usr/lib/x86_64-linux-gnu/libnettle.so.8.4
chronyd 89320 _chrony mem REG 253,0 940560 134797004 /usr/lib/x86_64-linux-gnu/libm.so.6
chronyd 89320 _chrony mem REG 253,0 240936 134331442 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
chronyd 89320 _chrony 0r CHR 1,3 0t0 5 /dev/null
chronyd 89320 _chrony 1w CHR 1,3 0t0 5 /dev/null
chronyd 89320 _chrony 2u CHR 1,3 0t0 5 /dev/null
chronyd 89320 _chrony 3u unix 0xffff96061c7b8400 0t0 123976 type=DGRAM
chronyd 89320 _chrony 5u IPv4 123981 0t0 UDP localhost:323
chronyd 89320 _chrony 6u IPv6 123982 0t0 UDP ip6-localhost:323
chronyd 89320 _chrony 7u unix 0xffff96061c7bd400 0t0 123983 /run/chrony/chronyd.sock type=DGRAM
chronyd 89320 _chrony 8u unix 0xffff96061c7bb800 0t0 123984 type=SEQPACKET
chronyd 89321 _chrony cwd DIR 253,0 300 128 /
chronyd 89321 _chrony rtd DIR 253,0 300 128 /
chronyd 89321 _chrony txt REG 253,0 285712 292271 /usr/sbin/chronyd (deleted)
chronyd 89321 _chrony mem REG 253,0 526896 134393888 /usr/lib/x86_64-linux-gnu/libgmp.so.10.4.1
chronyd 89321 _chrony mem REG 253,0 289800 134393900 /usr/lib/x86_64-linux-gnu/libhogweed.so.6.4
chronyd 89321 _chrony mem REG 253,0 1743016 134598162 /usr/lib/x86_64-linux-gnu/libunistring.so.2.2.0
chronyd 89321 _chrony mem REG 253,0 2220400 134797001 /usr/lib/x86_64-linux-gnu/libc.so.6
chronyd 89321 _chrony mem REG 253,0 47688 134393875 /usr/lib/x86_64-linux-gnu/libffi.so.8.1.0
chronyd 89321 _chrony mem REG 253,0 92312 134598155 /usr/lib/x86_64-linux-gnu/libtasn1.so.6.6.2
chronyd 89321 _chrony mem REG 253,0 129096 134393907 /usr/lib/x86_64-linux-gnu/libidn2.so.0.3.7
chronyd 89321 _chrony mem REG 253,0 1285888 134538208 /usr/lib/x86_64-linux-gnu/libp11-kit.so.0.3.0
chronyd 89321 _chrony mem REG 253,0 125360 134538237 /usr/lib/x86_64-linux-gnu/libseccomp.so.2.5.3
chronyd 89321 _chrony mem REG 253,0 39024 134318281 /usr/lib/x86_64-linux-gnu/libcap.so.2.44
chronyd 89321 _chrony mem REG 253,0 2000320 134318753 /usr/lib/x86_64-linux-gnu/libgnutls.so.30.31.0
chronyd 89321 _chrony mem REG 253,0 281000 134538195 /usr/lib/x86_64-linux-gnu/libnettle.so.8.4
chronyd 89321 _chrony mem REG 253,0 940560 134797004 /usr/lib/x86_64-linux-gnu/libm.so.6
chronyd 89321 _chrony mem REG 253,0 240936 134331442 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
chronyd 89321 _chrony 0r CHR 1,3 0t0 5 /dev/null
chronyd 89321 _chrony 1w CHR 1,3 0t0 5 /dev/null
chronyd 89321 _chrony 2u CHR 1,3 0t0 5 /dev/null
chronyd 89321 _chrony 9u unix 0xffff96061c7be400 0t0 123985 type=SEQPACKET
root@containerd:~#
4.3. 列出某个程序打开的文件
命令:lsof -c <app-name>
举例如下:
root@containerd:~# lsof -c containerd
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
container 859 root cwd DIR 253,0 300 128 /
container 859 root rtd DIR 253,0 300 128 /
container 859 root txt REG 253,0 38939752 203321724 /usr/local/bin/containerd
container 859 root mem-W REG 253,0 262144 135005784 /var/lib/containerd/io.containerd.metadata.v1.bolt/meta.db
container 859 root 0r CHR 1,3 0t0 5 /dev/null
container 859 root 1u unix 0xffff960611bf7c00 0t0 21764 type=STREAM
container 859 root 2u unix 0xffff960611bf7c00 0t0 21764 type=STREAM
container 859 root 3uW REG 253,0 262144 135005784 /var/lib/containerd/io.containerd.metadata.v1.bolt/meta.db
container 859 root 4u a_inode 0,14 0 1053 [eventpoll]
container 859 root 5r FIFO 0,13 0t0 19451 pipe
container 859 root 6w FIFO 0,13 0t0 19451 pipe
container 859 root 7r a_inode 0,14 0 1053 inotify
container 859 root 8u unix 0xffff96061c390c00 0t0 553 /run/containerd/containerd.sock.ttrpc type=STREAM
container 859 root 9u unix 0xffff96061c390800 0t0 554 /run/containerd/containerd.sock type=STREAM
container 859 root 10u IPv4 20344 0t0 TCP localhost:45543 (LISTEN)
root@containerd:~#
4.4. 查看指定进程打开的文件
命令:lsof -p <pid>
举例如下:
root@containerd:~# ps -ef|grep containerd
root 859 1 0 22:33 ? 00:00:05 /usr/local/bin/containerd
root 52472 1141 0 23:02 pts/0 00:00:00 grep --color=auto containerd
root@containerd:~#
root@containerd:~#
root@containerd:~# lsof -p 859
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
container 859 root cwd DIR 253,0 300 128 /
container 859 root rtd DIR 253,0 300 128 /
container 859 root txt REG 253,0 38939752 203321724 /usr/local/bin/containerd
container 859 root mem-W REG 253,0 262144 135005784 /var/lib/containerd/io.containerd.metadata.v1.bolt/meta.db
container 859 root 0r CHR 1,3 0t0 5 /dev/null
container 859 root 1u unix 0xffff960611bf7c00 0t0 21764 type=STREAM
container 859 root 2u unix 0xffff960611bf7c00 0t0 21764 type=STREAM
container 859 root 3uW REG 253,0 262144 135005784 /var/lib/containerd/io.containerd.metadata.v1.bolt/meta.db
container 859 root 4u a_inode 0,14 0 1053 [eventpoll]
container 859 root 5r FIFO 0,13 0t0 19451 pipe
container 859 root 6w FIFO 0,13 0t0 19451 pipe
container 859 root 7r a_inode 0,14 0 1053 inotify
container 859 root 8u unix 0xffff96061c390c00 0t0 553 /run/containerd/containerd.sock.ttrpc type=STREAM
container 859 root 9u unix 0xffff96061c390800 0t0 554 /run/containerd/containerd.sock type=STREAM
container 859 root 10u IPv4 20344 0t0 TCP localhost:45543 (LISTEN)
root@containerd:~#
4.5. 查找监听特定端口的进程
命令:lsof -i :<port>
举例如下:
root@containerd:~# lsof -i :22
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 1105 root 4u IPv4 32344 0t0 TCP containerd:ssh->192.168.11.1:64450 (ESTABLISHED)
sshd 64873 root 4u IPv4 109217 0t0 TCP containerd:ssh->192.168.11.1:49324 (ESTABLISHED)
sshd 101308 root 3u IPv4 142285 0t0 TCP *:ssh (LISTEN)
root@containerd:~#
4.6. 查看所有处于监听状态的TCP连接
命令:lsof -i -sTCP:LISTEN
举例如下:
root@containerd:~# lsof -i -sTCP:LISTEN
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
container 859 root 10u IPv4 20344 0t0 TCP localhost:45543 (LISTEN)
sshd 1105 root 5u IPv6 20463 0t0 TCP ip6-localhost:6010 (LISTEN)
sshd 1105 root 7u IPv4 20464 0t0 TCP localhost:6010 (LISTEN)
sshd 64873 root 5u IPv6 106249 0t0 TCP ip6-localhost:6011 (LISTEN)
sshd 64873 root 7u IPv4 106250 0t0 TCP localhost:6011 (LISTEN)
systemd-r 90947 systemd-resolve 14u IPv4 126817 0t0 TCP localhost:domain (LISTEN)
sshd 101308 root 3u IPv4 142285 0t0 TCP *:ssh (LISTEN)
root@containerd:~#
4.7. 查看所有处于建立好连接的TCP
命令:lsof -i -sTCP:ESTABLISHED
举例如下:
root@containerd:~# lsof -i -sTCP:ESTABLISHED
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 1105 root 4u IPv4 32344 0t0 TCP containerd:ssh->192.168.11.1:64450 (ESTABLISHED)
sshd 64873 root 4u IPv4 109217 0t0 TCP containerd:ssh->192.168.11.1:49324 (ESTABLISHED)
root@containerd:~#
4.8. 查看指定进程监听的端口
命令:lsof -i -a -p <port>
举例如下:
root@containerd:~# ps -ef|grep sshd
root 1105 1 0 22:34 ? 00:00:02 sshd: root@pts/0
root 64873 1 0 23:05 ? 00:00:00 sshd: root@pts/2
root 101308 1 0 23:06 ? 00:00:00 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups
root 137623 66196 0 23:26 pts/2 00:00:00 grep --color=auto sshd
root@containerd:~#
root@containerd:~#
root@containerd:~# lsof -i -a -p 101308 -n
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 101308 root 3u IPv4 142285 0t0 TCP *:ssh (LISTEN)
root@containerd:~#
4.9. 查看指定命令监听的端口
命令:lsof -i -a -c <command>
举例如下:
root@containerd:~# lsof -i -a -c sshd
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 1105 root 4u IPv4 32344 0t0 TCP containerd:ssh->192.168.11.1:64450 (ESTABLISHED)
sshd 1105 root 5u IPv6 20463 0t0 TCP ip6-localhost:6010 (LISTEN)
sshd 1105 root 7u IPv4 20464 0t0 TCP localhost:6010 (LISTEN)
sshd 64873 root 4u IPv4 109217 0t0 TCP containerd:ssh->192.168.11.1:49324 (ESTABLISHED)
sshd 64873 root 5u IPv6 106249 0t0 TCP ip6-localhost:6011 (LISTEN)
sshd 64873 root 7u IPv4 106250 0t0 TCP localhost:6011 (LISTEN)
sshd 101308 root 3u IPv4 142285 0t0 TCP *:ssh (LISTEN)
root@containerd:~#
root@containerd:~# lsof -i -a -c chrony
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
chronyd 101640 _chrony 5u IPv4 149537 0t0 UDP localhost:323
chronyd 101640 _chrony 6u IPv6 149538 0t0 UDP ip6-localhost:323
root@containerd:~#
4.10. 查看所有TCP连接
命令:lsof -i tcp
举例如下:
root@containerd:~# lsof -i tcp
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
container 859 root 10u IPv4 20344 0t0 TCP localhost:45543 (LISTEN)
sshd 1105 root 4u IPv4 32344 0t0 TCP containerd:ssh->192.168.11.1:64450 (ESTABLISHED)
sshd 1105 root 5u IPv6 20463 0t0 TCP ip6-localhost:6010 (LISTEN)
sshd 1105 root 7u IPv4 20464 0t0 TCP localhost:6010 (LISTEN)
sshd 64873 root 4u IPv4 109217 0t0 TCP containerd:ssh->192.168.11.1:49324 (ESTABLISHED)
sshd 64873 root 5u IPv6 106249 0t0 TCP ip6-localhost:6011 (LISTEN)
sshd 64873 root 7u IPv4 106250 0t0 TCP localhost:6011 (LISTEN)
systemd-r 90947 systemd-resolve 14u IPv4 126817 0t0 TCP localhost:domain (LISTEN)
sshd 101308 root 3u IPv4 142285 0t0 TCP *:ssh (LISTEN)
root@containerd:~#
4.11. 查看所有UDP连接
命令:lsof -i udp
举例如下:
root@containerd:~#
root@containerd:~# lsof -i udp
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
systemd-r 90947 systemd-resolve 13u IPv4 126816 0t0 UDP localhost:domain
chronyd 101640 _chrony 4u IPv4 178430 0t0 UDP containerd:48223->makaki.miuku.net:ntp
chronyd 101640 _chrony 5u IPv4 149537 0t0 UDP localhost:323
chronyd 101640 _chrony 6u IPv6 149538 0t0 UDP ip6-localhost:323
root@containerd:~#
4.12. 查找使用特定文件的进程
命令:lsof <file>
举例如下:
root@containerd:~#
root@containerd:~# lsof /var/log/kern.log
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
rsyslogd 116033 syslog 8w REG 253,0 175767 2527502 /var/log/kern.log
root@containerd:~#
root@containerd:~#
4.13. 查找使用特定目录的进程
命令:lsof +D <dir>
举例如下:
root@containerd:~# lsof +D /var/log
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
unattende 903 root 3w REG 253,0 1017 202394112 /var/log/unattended-upgrades/unattended-upgrades-shutdown.log
systemd-j 90949 root mem REG 253,0 8388608 22395 /var/log/journal/d552e0edef0141cc9cc9130e99db60ad/system.journal
systemd-j 90949 root 34u REG 253,0 8388608 22395 /var/log/journal/d552e0edef0141cc9cc9130e99db60ad/system.journal
atop 93576 root 5u REG 253,0 1839935 310270 /var/log/atop/atop_20240402
rsyslogd 116033 syslog 7w REG 253,0 197363 2527500 /var/log/syslog
rsyslogd 116033 syslog 8w REG 253,0 175767 2527502 /var/log/kern.log
rsyslogd 116033 syslog 9w REG 253,0 2287 208040 /var/log/auth.log
root@containerd:~#
5. 解读lsof的输出 📖
- COMMAND:打开文件的进程名,通常是启动进程的命令名。
- PID:每个运行中的进程在系统中都有一个唯一的标识符,即PID
- USER:进程所有者的用户名。
- FD:文件描述符,唯一标识打开的文件。
- TYPE:文件类型(如:DIR, REG)。
- DEVICE:显示文件所在的设备编号,可能是以“主设备号,次设备号”的方式,譬如
255,0 - SIZE/OFF:文件的大小或偏移量。
- 对于常规文件,显示文件的大小。
- 对于某些特殊文件,这可能是偏移量。
- NODE:文件的inode号码。
- NAME:文件名或网络连接的详细信息。
5.1. FD(文件描述符)
文件描述符是一个非负整数,它是UNIX和类UNIX操作系统(如Linux)用来访问文件或输入/输出资源的抽象标识。在lsof的输出中,FD列显示了被进程打开的文件的文件描述符,它可以有以下几种形式:
- 数字:如
0、1、2分别代表标准输入(STDIN)、标准输出(STDOUT)、标准错误输出(STDERR)。 cwd:代表当前工作目录。rtd:代表根目录。txt:表示程序代码。mem:表示内存映射文件。- 数字w:数字后跟
w,如1w,表示文件是以写入模式打开的。 - 数字u:数字后跟
u,如2u,表示文件是以读写模式打开的。 - 数字r:数字后跟
r,表示文件是以只读模式打开的。
5.2. TYPE(文件类型)
TYPE列提供了有关打开文件的类型信息,这可以帮助你了解文件是如何被使用的。TYPE列的值可能包括但不限于:
REG:常规文件。表示普通的数据文件。DIR:目录。CHR:字符设备文件,如终端、打印机等。BLK:块设备文件,如硬盘、光驱等。FIFO:命名管道,用于进程间通信。SOCK:Socket文件,用于网络通信。IPv4和IPv6:分别表示IPv4和IPv6的网络文件。unix:表示Unix域Socket文件。
在lsof命令的输出结果中,NAME列是非常重要的一部分,它提供了被打开文件的名称或网络连接的详细信息。根据打开的资源类型,NAME列的内容会有所不同。以下是NAME列可能包含的信息类型及其含义的详细解释:
5.3. NAME
在lsof命令的输出结果中,NAME列是非常重要的一部分,它提供了被打开文件的名称或网络连接的详细信息。根据打开的资源类型,NAME列的内容会有所不同。以下是NAME列可能包含的信息类型及其含义的详细解释:
5.3.1. 文件系统中的文件
- 普通文件和目录:对于普通文件和目录,
NAME列显示的是文件或目录的完整路径,如/home/user/document.txt或/etc。
5.3.2. 特殊文件
- 设备文件:如果是字符设备或块设备文件,
NAME列会显示设备的文件路径,如/dev/tty(终端设备)或/dev/sda1(硬盘分区)。 - 管道(Pipe):命名管道通常显示为
pipe:[inode],其中[inode]是管道文件的inode编号。 - Socket:Socket文件会显示协议类型和网络连接的详细信息。例如,
TCP、UDP连接会显示本地和远程的地址及端口号,格式类似于[local address]:[local port]->[remote address]:[remote port](对于TCP)或[local address]:[local port](对于UDP)。Unix域Socket则显示为[类型]:[inode],类型通常是STREAM、DGRAM等。
5.3.3. 网络连接
- IPv4/IPv6连接:对于网络Socket,
NAME列提供了连接的详细信息,包括协议类型(如TCP或UDP)、本地地址和端口号、远程地址和端口号(如果可用),以及连接的状态(如LISTEN、ESTABLISHED)。格式示例:TCP localhost:ssh->192.168.1.5:53722 (ESTABLISHED)。
5.3.4. 内存映射文件
- 内存映射区域:如果文件被映射到进程的内存空间(如共享库或执行文件的代码段),
NAME列通常会显示文件的路径。对于匿名映射(不直接关联到文件系统中的文件),可能显示为[ anon ]或特定的标记(如[ stack ]表示进程的栈空间)。
5.3.5. 示例
让我们通过一些示例来进一步理解NAME列的含义:
/usr/lib/x86_64-linux-gnu/libc-2.31.so:表示libc库文件被打开。TCP 127.0.0.1:4567->127.0.0.1:80 (ESTABLISHED):表示有一个TCP连接从本地的4567端口连接到本地的80端口,并且该连接已经建立。pipe:[45678]:表示一个命名管道被打开,其inode编号为45678。anon_inode:[eventfd]:表示一个匿名inode关联的特殊文件被打开,通常用于事件通知。
理解lsof输出中的NAME列对于诊断系统问题、监控资源使用情况和性能优化非常有帮助。它提供了关于文件和网络资源使用情况的直观视图,帮助你快速定位问题。
5.4. 示例
让我们通过一个具体的lsof命令执行结果的例子,来深入理解每一列的含义以及每行代表的信息。这里假设我们执行了一个列出特定进程打开的文件的lsof命令。
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 1234 root cwd DIR 253,0 4096 2 /
sshd 1234 root txt REG 253,0 881736 201 /usr/sbin/sshd
sshd 1234 root 0u IPv4 28991 0t0 TCP *:ssh (LISTEN)
解释如下:
第一行(
sshd进程的当前工作目录)COMMAND:sshd,表示执行此操作的进程是SSH守护进程。PID:1234,进程ID。USER:root,表示运行此进程的用户是root。FD:cwd,表示当前工作目录。TYPE:DIR,指示打开的是一个目录。DEVICE:253,0,表示设备号。SIZE/OFF:4096,目录的大小。NODE:2,文件系统中的inode编号。NAME:/,当前工作目录的路径,根目录。
第二行(
sshd进程的可执行文件)COMMAND: 同上,sshd。PID,USER,DEVICE: 同上。FD:txt,表示此文件是程序的文本(代码和数据)。TYPE:REG,常规文件。SIZE/OFF:881736,文件大小。NODE:201,文件的inode编号。NAME:/usr/sbin/sshd,sshd守护进程的可执行文件路径。
第三行(
sshd进程监听的Socket)COMMAND: 同上。PID,USER: 同上。FD:0u,数字表示文件描述符,u表示以读写模式打开。TYPE:IPv4,表示这是一个IPv4网络连接。DEVICE:28991,Socket的内部标识。SIZE/OFF:0t0,对于Socket而言,此列通常不适用。NODE: 不适用于网络连接。NAME:*:ssh (LISTEN),表示这个进程正在所有接口的22端口(SSH)上监听入站连接。
6. 使用lsof的注意事项 🚨
- 权限:运行
lsof可能需要超级用户权限,特别是当你尝试查看其他用户进程打开的文件时。 - 性能:
lsof可能需要一些时间来生成报告,特别是在系统打开了大量文件的情况下。使用-n和-P参数可以减少DNS和服务名解析的开销,加快命令执行速度。 - 输出过滤:
lsof的输出可能非常庞大,可以使用管道(|)和grep来过滤感兴趣的信息。 - 安全性:在多用户环境中使用
lsof时要注意隐私和安全性,不要泄露敏感信息。
7. 总结 🌈
lsof是Linux系统管理员和开发人员手中的一把利剑,帮助他们诊断问题、监控系统状态。掌握lsof的使用方法和它的参数对于深入理解系统的运行机制至关重要。通过实际的命令使用实例和对输出的解读,我们可以更好地管理系统资源,优化应用性能,甚至在复杂的故障排除过程中找到问题的根源。
lsof不仅仅是一个单一的工具,它是一个功能强大的工具箱,通过其提供的丰富参数和选项,几乎可以洞察Linux操作系统中所有与文件相关的活动。无论是简单地查看哪个进程占用了某个端口,还是深入分析系统中的网络连接和文件使用情况,lsof都能提供必要的帮助。
