Linux lsof詳解

簡介

lsof(list open files)是一個列出當前系統開啟檔案的工具。在linux環境下，任何事物都以檔案的形式存在，通過檔案不僅僅可以訪問常規資料，還可以訪問網路連線和硬體。所以如傳輸控制協議 (TCP) 和使用者資料包協議 (UDP) 套接字等，系統在後臺都為該應用程式分配了一個檔案描述符，無論這個檔案的本質如何，該檔案描述符為應用程式與基礎作業系統之間的互動提供了通用介面。因為應用程式開啟檔案的描述符列表提供了大量關於這個應用程式本身的資訊，因此通過lsof工具能夠檢視這個列表對系統監測以及排錯將是很有幫助的。

 

輸出資訊含義

在終端下輸入lsof即可顯示系統開啟的檔案，因為 lsof 需要訪問核心記憶體和各種檔案，所以必須以 root 使用者的身份執行它才能夠充分地發揮其功能。

直接輸入lsof部分輸出為:

COMMAND     PID        USER   FD      TYPE             DEVICE SIZE/OFF       NODE NAME
init          1        root  cwd       DIR                8,1     4096          2 /
init          1        root  rtd       DIR                8,1     4096          2 /
init          1        root  txt       REG                8,1   150584     654127 /sbin/init
udevd       415        root    0u      CHR                1,3      0t0       6254 /dev/null
udevd       415        root    1u      CHR                1,3      0t0       6254 /dev/null
udevd       415        root    2u      CHR                1,3      0t0       6254 /dev/null
udevd       690        root  mem       REG                8,1    51736     302589 /lib/x86_64-linux-gnu/libnss_files-2.13.so
syslogd    1246      syslog    2w      REG                8,1    10187     245418 /var/log/auth.log
syslogd    1246      syslog    3w      REG                8,1    10118     245342 /var/log/syslog
dd         1271        root    0r      REG                0,3        0 4026532038 /proc/kmsg
dd         1271        root    1w     FIFO               0,15      0t0        409 /run/klogd/kmsg
dd         1271        root    2u      CHR                1,3      0t0       6254 /dev/null

每行顯示一個開啟的檔案，若不指定條件預設將顯示所有程式開啟的所有檔案。

lsof輸出各列資訊的意義如下：

COMMAND：程式的名稱 PID：程式識別符號

USER：程式所有者

FD：檔案描述符，應用程式通過檔案描述符識別該檔案。如cwd、txt等 TYPE：檔案型別，如DIR、REG等

DEVICE：指定磁碟的名稱

SIZE：檔案的大小 0t0 In other words, 0t signifies decimal notation and 0t0 means a file with size 0 in decimal notation.    翻譯： 換句話說，0T表示十進位制記數法和0t0意味著與十進位制數的0大小的檔案。  原文來自：  http://unix.stackexchange.com/questions/89280/when-looking-at-lsof-output-what-does-0t0-mean

NODE：索引節點（檔案在磁碟上的標識）

NAME：開啟檔案的確切名稱

FD 列中的檔案描述符cwd 值表示應用程式的當前工作目錄，這是該應用程式啟動的目錄，除非它本身對這個目錄進行更改,txt 型別的檔案是程式程式碼，如應用程式二進位制檔案本身或共享庫，如上列表中顯示的 /sbin/init 程式。

其次數值表示應用程式的檔案描述符，這是開啟該檔案時返回的一個整數。如上的最後一行檔案/dev/initctl，其檔案描述符為 10。u 表示該檔案被開啟並處於讀取/寫入模式，而不是隻讀 ® 或只寫 (w) 模式。同時還有大寫 的W 表示該應用程式具有對整個檔案的寫鎖。該檔案描述符用於確保每次只能開啟一個應用程式例項。初始開啟每個應用程式時，都具有三個檔案描述符，從 0 到 2，分別表示標準輸入、輸出和錯誤流。所以大多數應用程式所開啟的檔案的 FD 都是從 3 開始。

與 FD 列相比，Type 列則比較直觀。檔案和目錄分別稱為 REG 和 DIR。而CHR 和 BLK，分別表示字元和塊裝置；或者 UNIX、FIFO 和 IPv4，分別表示 UNIX 域套接字、先進先出 (FIFO) 佇列和網際協議 (IP) 套接字。

 

常用引數

lsof語法格式是：
lsof ［options］ filename

lsof abc.txt 顯示開啟檔案abc.txt的程式
lsof -c abc 顯示abc程式現在開啟的檔案
lsof -c -p 1234 列出程式號為1234的程式所開啟的檔案
lsof -g gid 顯示歸屬gid的程式情況
lsof +d /usr/local/ 顯示目錄下被程式開啟的檔案
lsof +D /usr/local/ 同上，但是會搜尋目錄下的目錄，時間較長
lsof -d 4 顯示使用fd為4的程式
lsof -i 用以顯示符合條件的程式情況
lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
  46 --> IPv4 or IPv6
  protocol --> TCP or UDP
  hostname --> Internet host name
  hostaddr --> IPv4地址
  service --> /etc/service中的 service name (可以不止一個)
  port --> 埠號 (可以不止一個)