Linux——lsof

最新推荐文章于 2024-10-12 00:15:00 发布
最新推荐文章于 2024-10-12 00:15:00 发布
阅读量255 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux指令记 文章标签: lsof 文件恢复 内核状态查看
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CPU1994GHz/article/details/79493120
本文介绍 lsof 命令的使用方法,包括查看进程打开的文件、端口情况,以及如何恢复被删除但仍被进程占用的文件。适用于 Linux 系统管理员和技术支持人员。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

lsof

man - list open files
用于查看你进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP)。找回/恢复删除的文件。

[root@localhost ~]# lsof | head
COMMAND    PID  TID           USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
systemd      1                root  cwd       DIR              253,0      4096        128 /
systemd      1                root  rtd       DIR              253,0      4096        128 /
systemd      1                root  txt       REG              253,0   1494168     199282 /usr/lib/systemd/systemd
systemd      1                root  mem       REG              253,0     20032  202407022 /usr/lib64/libuuid.so.1.3.0
systemd      1                root  mem       REG              253,0    252696  201810106 /usr/lib64/libblkid.so.1.1.0
systemd      1                root  mem       REG              253,0     90632  201417273 /usr/lib64/libz.so.1.2.7
systemd      1                root  mem       REG              253,0     19888  201417773 /usr/lib64/libattr.so.1.1.0
systemd      1                root  mem       REG              253,0     19520  201373568 /usr/lib64/libdl-2.17.so
systemd      1                root  mem       REG              253,0    153192  201417251 /usr/lib64/liblzma.so.5.0.99

解释:

    COMMAND:进程的名称
    PID:进程标识符
    PPID:父进程标识符(需要指定-R参数)
    USER:进程所有者
    PGID:进程所属组
    FD:文件描述符,应用程序通过文件描述符识别该文件。

查看指定端口现在运行的情况

[root@localhost ~]# lsof -i :22
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    1189 root    3u  IPv4  18609      0t0  TCP *:ssh (LISTEN)
sshd    1189 root    4u  IPv6  18618      0t0  TCP *:ssh (LISTEN)

查看所属root用户进程所打开的文件类型为txt的文件:

[root@localhost ~]# lsof -a -u root -d txt | head
COMMAND     PID USER  FD      TYPE DEVICE SIZE/OFF      NODE NAME
systemd       1 root txt       REG  253,0  1494168    199282 /usr/lib/systemd/systemd
kthreadd      2 root txt   unknown                           /proc/2/exe
ksoftirqd     3 root txt   unknown                           /proc/3/exe
kworker/0     5 root txt   unknown                           /proc/5/exe
migration     7 root txt   unknown                           /proc/7/exe
rcu_bh        8 root txt   unknown                           /proc/8/exe
rcuob/0       9 root txt   unknown                           /proc/9/exe
rcu_sched    10 root txt   unknown                           /proc/10/exe
rcuos/0      11 root txt   unknown                           /proc/11/exe

恢复删除的文件

先决条件:文件在被某一个进程打开的过程中被删除,这种情况下,是可以通过lsof来恢复的。
当Linux计算机受到入侵时,常见的情况是日志文件被删除,以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件,比如在清理旧日志时,意外地删除了数据库的活动事务日志。有时可以通过lsof来恢复这些文件。
当进程打开了某个文件时,只要该进程保持打开该文件,即使将其删除,它依然存在于磁盘中。这意味着,进程并不知道文件已经被删除,它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外,这个文件是不可见的,因为已经删除了其相应的目录索引节点
在/proc 目录下,其中包含了反映内核和进程树的各种文件。/proc目录挂载的是在内存中所映射的一块区域,所以这些文件和目录并不存在于磁盘中,因此当我们对这些文件进行读取和写入时,实际上是在从内存中获取相关信息。大多数与 lsof 相关的信息都存储于以进程的 PID 命名的目录中,即 /proc/1234 中包含的是 PID 为 1234 的进程的信息。每个进程目录中存在着各种文件,它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof 程序使用该信息和其他关于内核内部状态的信息来产生其输出。所以lsof 可以显示进程的文件描述符和相关的文件名等信息。也就是我们通过访问进程的文件描述符可以找到该文件的相关信息。 

lsof | grep 进程名
vim       13457                 root    2u      CHR              136,1       0t0          4 /dev/pts/1
vim       13457                 root    4u      REG              253,0     12288  211980147 /root/.out.file.swp

cat /proc/13457/fd/4 > /root/msg.txt

注意:恢复的文件是不整齐的,掺杂乱码。

『运维备忘录』之 Lsof 命令详解
流浪字节的博客
02-15 1589
lsofLinux 下的一个非常实用的系统级的监控、诊断工具,它的功能非常强大。它的意思是 List Open Files,字面意思是“打开文件列表“。我们知道,linux 下 “一切皆文件”,所以lsof的作用就显而易见了,它可以用来列出被各种进程打开的文件信息。
Linux——卷
最新发布
qq_35324057的博客
12-21 784
最近做的项目,涉及到对系统的一些维护,有些盘没有使用,需要创建逻辑盘并挂载到指定目录下。有些软件需要依赖空的逻辑盘(LVM)。先简单介绍一下卷的一些概念,有分区、物理存储介质、物理卷、卷组、逻辑卷。下面介绍一下概念:分区(Partition)物理存储介质(The physical media)物理卷(physical volume,PV)是用来构建卷组的基本单元,通常不会被直接挂载,而是通过组合成卷组,然后从卷组中创建逻辑卷。卷组(Volume Group,VG)是逻辑卷的基础。
lsof命令导致CPU负载异常的问题总结
Zebraol
06-10 3582
出于安全及统计需要,运营系统需要采集所有生产服务器的对外端口开放情况。 4月27日凌晨,在近万台生产服务上批量推送了端口自检及扫描脚本,初期观察无异常。下午收到反馈有部分机器因为losf命令导致CPU负载很高,登录到机器上发现是自检脚本调用netstat及lsof命令引起单颗CPU负载过高。 于是紧急回退脚本,同时向运维同事要了一台连接数较大的机器测试,测试结果显示在连接数非常大时lsof及n
linux命令:lsof
windsor的博客
06-10 452
实际工作中我们往往需要快速查找一些项目进程的相关信息。 lsof这个命令最近接触到了,mark一下。 -t:只显示进程ID -i:显示所有连接 lsof -t -i:8080(显示8080端口的PID) lsof -i@127.0.0.1(相当于ping) -p:显示指定PID打开的内容(可以用这个命令快速找到日志,JVM bin目录位置等等) 这几个算是比较常用到的。 还有一个启动jar的方式也顺手mark一下: java -jar springpro.jar & nohup.
lsof
陆多多的专栏
11-22 2465
命令作用lsof(list open files) 是一个列出当前系统打开文件的工具,在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。输出各列信息的意义 COMMAND:进程的名称 PID:进程标识符 USER:进程所有者 FD:文件描述符,应用程序通过文件描述符识别该文件。如cwd、txt等 TYPE:文件类型,如DIR、REG等 DE
Linux——在Linux上安装并启动Redis
戏拈秃笔的博客
05-11 2196
Linux上安装并启动Redis简要流程记录
Linux——find -exec echo命令使用及修改——复盘记录
weixin_42480342的博客
11-14 1015
linux;centos7;find结合echo清理日志;删除进程未释放空间
linux——命令目录
MKC__jiaoq的博客
11-09 880
linux——命令
linux——进程管理1
qq_46465907的博客
12-13 1208
进程的定义 进程是操作系统的概念,每当我们执行一个程序时,对于操作系统来讲就创建了一个进程,在这个过程中,伴随着资源的分配和释放。可以认为进程是一个程序的一次执行过程。 进程的状态 1. Linux进程状态:R (TASK_RUNNING),可执行状态&运行状态(在run_queue队列里的状态) 2. Linux进程状态:S (TASK_INTERRUPTIBLE),可中断的睡眠状态, 可处理signal 3. Linux进程状态:T (TASK_STOPPED or TASK_TRAC
Linux lsof命令
just do it
02-23 1416
lsof是list open files的简称,它的作用主要是列出系统中打开的文件,基本上linux系统中所有的对象都可以看作文件,lsof可以查看用户和进程操作了哪些文件,也可以查看系统中网络的使用情况,以及设备的信息在终端下输入lsof命令即可显示系统打开的文件,它访问核心内存和各种文件,需要root用户身份才能发挥其功能。
Linux中监控CPU、磁盘、内存、I/O资源命令(mpstat、iostat、iotop、nload、pidstat、lsof、tcpdump)
S314118142的博客
07-17 2379
Linux下的IO统计工具如iostat,nmon等大多数是只能统计到per设备的读写情况,如果你想知道每个进程是如何使用IO的就比较麻烦,使用iotop命令可以很方便的查看。mpstat命令显示各个可用CPU的状态,mpstat是Multi-ProcessorStatistics的缩写,是实时监控工具。pidstat命令是sysstat工具的一个命令,用来监控全部或者指定进程的CPU、内存、线程、设备IO等系统资源的占用情况。r/s每秒完成的读I/O设备次数。...
linuxlsof 命令详解
XMYX-0
10-12 2647
lsof(List Open Files)是一个用于列出当前系统打开文件的强大工具。在 Linux 环境下,几乎所有事物都以文件的形式存在,包括常规数据、网络连接和硬件设备。因此,系统在后台为每个应用程序分配了一个文件描述符(file descriptor),该文件描述符为应用程序与基础操作系统之间的交互提供了统一的接口。通过lsof工具,用户可以查看进程打开的文件列表,这对于系统监测和故障排除非常有帮助。lsof
Linux shell编程学习笔记47:lsof命令
Purpleendurer@优快云
04-24 3332
今天国产电脑提示磁盘空间已耗尽,使用用df命令检查文件系统情况,发现/dev/sda2已使用100%。Linux shell编程学习笔记39:df命令于是开始清理磁盘空间。第一步是查看已删除、但空间却没有释放的进程。这里要用到 lsof命令。
lsof命令详解
demon7552003的小本本
05-23 1万+
lsof(List Open Files) 用于查看进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP),找回/恢复删除的文件。是十分方便的系统监视工具,因为lsof命令需要访问核心内存和各种文件,所以需要root用户执行。 在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件(lsof强大原因)。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件
linux lsof详解
热门推荐
guoguo1980的专栏
04-24 22万+
lsof简介lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用
Linuxlsof命令
thewebcode
06-13 1920
lsof命令简介: lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以,lsof的功能很强大。一般root用户才能执行lsof命令,普通用户可以看见/usr/sbin/lsof命令,但是普通用户执行会显示“permission denied”。因此通过lsof工...
lsof用法
点星之人
03-30 2104
默认 : 没有选项,lsof列出活跃进程的所有打开文件 组合 : 可以将选项组合到一起,如-abc,但要当心哪些选项需要参数 -a : 结果进行“与”运算(而不是“或”) -l : 在输出显示用户ID而不是用户名 -h : 获得帮助 -t : 仅获取进程ID -U : 获取UNIX套接口地址 -F : 格式化输出结果,用于其它命令。可以通过多种方式格
Linux系统命令大全:高效学习手册
4. `lsof` —— 列出当前系统打开文件 5. `vmstat` —— 报告关于内核线程、虚拟内存、磁盘IO、系统进程、IO块设备和CPU活动的信息 Linux系统命令非常丰富,涵盖了从基本文件操作、文本处理到高级系统监控和管理等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值