Linux-文件分析-lsof

最新推荐文章于 2025-01-04 10:55:25 发布
原创 最新推荐文章于 2025-01-04 10:55:25 发布 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了lsof命令的功能及使用方法,包括如何通过lsof查找应用程序打开的文件名称和数量,如何查看进程占用的文件和端口等。此外,还对比了lsof与tcpdump和netstat等命令的区别。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


lsof(list open files)


 lsof 需要访问核心内存和各种文件,所以必须以 root 用户的身份运行它才能够充分地发挥其功能。
一. 参数分析

lsof输出各列信息的意义如下:


type 列则比较直观。文件和目录分别称为 reg 和 dir。而chr 和 blk,分别表示字符和块设备;或者 unix、fifo 和 ipv4,分别表示 unix 域套接字、先进先出 (fifo) 队列和网际协议 ( ip ) 套接字。

二. 常用命令
lsof 常见的用法是查找应用程序打开的文件的名称和数目。可用于查找出某个特定应用程序将日志数据记录到何处,或者正在跟踪某个问题。例如,linux限制了进程能够打开文件的数目。通常这个数值很大,所以不会产生问题,并且在需要时,应用程序可以请求更大的值(直到某个上限)。如果你怀疑应用程序耗尽了文件描述符,那么可以使用 lsof 统计打开的文件数目,以进行验证。

lsof `which httpd` //那个进程在使用apache的可执行文件
lsof /etc/passwd //那个进程在占用/etc/passwd
lsof /dev/hda6 //那个进程在占用hda6
lsof /dev/cdrom //那个进程在占用光驱
lsof -c sendmail //查看sendmail进程的文件使用情况
lsof -c courier -u ^zahn //显示出那些文件被以courier打头的进程打开,但是并不属于用户zahn
lsof -p 30297 //显示那些文件被pid为30297的进程打开
lsof -D /tmp 显示所有在/tmp文件夹中打开的instance和文件的进程。但是symbol文件并不在列

lsof -u1000 //查看uid是100的用户的进程的文件使用情况
lsof -utony //查看用户tony的进程的文件使用情况
lsof -u^tony //查看不是用户tony的进程的文件使用情况(^是取反的意思)
lsof -i //显示所有打开的端口
lsof -i: 80 //显示所有打开80端口的进程
lsof -i -U //显示所有打开的端口和UNIX domain文件
lsof -i UDP@[url]www.test.com: 123 //显示那些进程打开了到www.akadia.com的UDP的123(ntp)端口的链接
lsof -i tcp@test.com:ftp -r //不断查看目前ftp连接的情况(-r,lsof会永远不断的执行,直到收到中断信号,+r,lsof会一直执行,直到没有档案被显示,缺省是15s刷新)
lsof -i tcp@test.com:ftp -n //lsof -n 不将IP转换为hostname,缺省是不加上-n参数


三. 其他
tcpdump程序
tcpdump一边从网络读入分组一边显示关于这些分组的大量信息。它还能够只显示与所指定的准则匹配的那些分组。

netstat程序
netstat服务于多个目的:
(1)展示网络端点的状态。
(2)展示某个主机上各个接口所属的多播组。
(3)使用-s选项显示各个协议的统计信息。
(4)使用-r选项显示路由表或使用-i选项显示接口信息。

lsof程序
名字lsof代表“list open files”,即列出打开的文件。
lsof的常见用途之一是找出哪个进程在指定的IP地址或端口号上打开了一个套接口。netstat告诉我们哪些IP地址和端口正在使用中以及各个TCP连接的状态,却没有标识相应的进程。lsof弥补这个缺陷。



相关文章:
Linux 命令神器:lsof 入门 https://linux.cn/article-4099-1.html


1、linux命令-lsof查看当前系统打开文件
xuebo1129927648的博客
05-28 284
一、命令简介lsofListOpenFiles)是 Linux 系统中用于查看当前系统打开文件的工具。在 Linux 中,一切皆文件(包括普通文件、目录、套接字、管道、设备文件等),进程通过文件描述符(FD)与文件交互。lsof可列出当前系统中所有被进程打开的文件信息,常用于排查文件被占用、进程关联文件、网络连接等问题。二、核心功能查看进程打开的文件显示指定进程打开的所有文件(如日志文件、网络连接等)。定位被进程锁定的文件(如删除文件后空间未释放的场景)。排查端口占用。
lsof 4.81源码
07-16
在网上看到许多人将lsof的源码拿来卖分,像这种开源资源也要花资源分去下载,看着真是有点不地道!特传至此,免费下载! lsof命令在嵌入式中还是挺有用的,而在一般的嵌入式系统中,并没有移植该命令,需要自己移植。 本资源原下载地址:http://archive.ubuntu.com/ubuntu/pool/main/l/lsof/lsof_4.81.dfsg.1.orig.tar.gz 交叉编译步骤: export LSOF_CC=arm-arago-linux-gnueabi-gcc export LSOF_HOST="arm-linux" export LINUX_CLIB="-DGLIBCV=2" export LINUX_KERNEL="/ipc/DM8127/Source/ti_tools/ipnc_psp_arago/kernel" export LSOF_INCLUDE="/ipc/DM8127/Source/ti_tools/linux_devkit/arm-arago-linux-gnueabi/usr/include" ./Configure linux make
Linux目标文件分析方法
leopard21的专栏
04-23 960
File file.o 用来查看
linux lsof 源码分析,linux lsof详解
weixin_29917533的博客
05-14 512
lsof全名list openedfiles,也就是列举系统中已经被打开的文件。我们都知道,linux环境中,任何事物都是文件,设备是文件,目录是文件,甚至sockets也是文件。所以,用好lsof命令,对日常的linux管理非常有帮助。以下的说明,大部分内容来自lsof的manual文档。我所做的只是在中文翻译的基础上,进行简单的分类说明,并列举最常用的参数。1、输出说明lsoflinux最常...
linux文件目录解析
DQ3335的博客
03-14 425
linux文件系统解析
linuxlsof 命令详解
XMYX-0
10-12 2654
lsof(List Open Files)是一个用于列出当前系统打开文件的强大工具。在 Linux 环境下,几乎所有事物都以文件的形式存在,包括常规数据、网络连接和硬件设备。因此,系统在后台为每个应用程序分配了一个文件描述符(file descriptor),该文件描述符为应用程序与基础操作系统之间的交互提供了统一的接口。通过lsof工具,用户可以查看进程打开的文件列表,这对于系统监测和故障排除非常有帮助。lsof
lsof-4.87-6.el7.x86_64.rpm
12-02
今天我们将深入探讨的是`lsof`(List Open Files)命令,它是一个用于查看系统中打开文件的实用程序,尤其在故障排查、性能分析以及系统监控等方面有着广泛的应用。在CentOS 7环境下,`lsof`是不可或缺的工具之一。...
lsof-文件监控常用命令
lucky多多的博客
07-04 3758
lsof命令
Linux查看端口占用lsof -i:port的方法
09-15
`lsof`命令的基本用法是`lsof [选项] [文件]`,其中`-i`选项用于显示与网络相关的文件,如套接字。结合`:port`参数,我们可以精确地查询某个端口号被哪个进程占用。例如,`lsof -i:8080`会列出所有与8080端口相关的...
Linux lsof命令详解
tangPHP的博客
02-12 1159
lsof是一个功能强大的实用程序,可用于基于Linuxunix的系统,字面意思是“打开文件列表“。其主要功能是检索由不同运行进程打开的各种类型文件的详细信息。这些文件可以是普通文件、目录、块文件、网络套接字、命名管道等。
Linux 文件管理-文件内容-分析工具【awk】脚本处理文本和数据-Linux 文本操作三剑客
xyz的专栏
06-06 338
awk 简介 文本和数据进行处理的编程语言 ## 补充说明 **awk** 是一种编程语言,用于在linux/unix下对文本和数据进行处理。数据可以来自标准输入(stdin)、一个或多个文件,或其它命令的输出。它支持用户自定义函数和动态正则表达式等先进功能,是linux/unix下的一个强大编程工具。它在命令行中使用,但更多是作为脚本来使用。awk有很多内建的功能,比如数组、函数等,这是它和C语言的相同之处,灵活性是awk最大的优势。 awk命令格式和选项 **语法形式** ```s...
Linuxlsof 命令详解
Small world
01-04 877
lsof 是 List Open File 的缩写, 它主要用来获取被进程打开文件的信息,我们都知道,在Linux中,一切皆文件lsof命令可以查看所有已经打开了的文件,比如: 普通文件,目录,特殊的块文件,管道,socket套接字,设备,Unix域套接字等等,同时,它还可以结合 grep 以及 ps 命令进行更多的高级...
lsof进程打开的文件
liwech的专栏
05-14 271
lsof 它专门用来查看进程打开文件列表,不过,这里的“文件”不只有普通文件,还包括了目录、块设备、动态库、网络套接字等; 常用选项: -p:指定进程pid(不能查看线程,这个要注意) -i:查看网络连接信息(默认ipv4和ipv6的连接信息全部显示) -i4:只查看ipv4的网络连接信息 -i4tcp:只查看ipv4,并且协议为tcp的网络连接信息(udp协议:-i4udp) -i4:http:只查看ipv4,http服务的网络连接信息(服务名字以在/e...
手把手教你Linux文件系统和日志分析
A1100886的博客
04-16 1104
文件是存储在硬盘上的,硬盘的最小存储单位叫做”扇区”(sector),每个扇区存储512字节。inode不包含文件名。文件名是存放在目录当中的。Linux系统中一切皆文件,因此目录也是一种文件。每个inode都有一个号码,操作系统用inode号码来识别不同的文件Linux系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一一对应关系,每个inode号码对应一个文件名。
Linux】命令lsof使用详解
热门推荐
康师傅没有眼泪
11-20 1万+
用于查看你进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP)。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息,因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。lsof -c -p 123456 : 列出进程号为123456的进程所打开的文件。:文件描述符,应用程序通过文件描述符识别该文件。:文件类型,如DIR、REG等,常见的文件类型。
一文深入解析 Linux lsof 命令
民工哥的博客
08-06 260
戳下方名片,关注并星标!回复“1024”获取2TB学习资源!????体系化学习:运维工程师打怪升级进阶之路 4.0— 特色专栏—MySQL/PostgreSQL/MongoDBElasticSearch/Hadoop/RedisKubernetes/Docker/DevOpsKafka/RabbitMQ/Zookeeper监控平台/应用与服务/集群管理N...
lsof 确认某个文件是否有被打开
jason的笔记
09-25 906
Linux lsof type column
贾亮的专栏
07-24 1920
Linux lsof type column Type REG : 文件 DIR : 目录 CHR : 字符设备 BLK : 块设备 UNIX: UNIX 域套接字 FIFO: 先进先出 (FIFO) 队列 IP : 网际协议 (IP) 套接字 FD is the File Descriptor number of the file or: cwd c...
lsof -d mem
最新发布
06-24
<think>我们正在处理用户关于lsof命令使用-dmem选项的查询。根据用户的问题:"howtouselsofcommandwith-dmemoption",我们需要解释lsof命令中-d选项的用法,特别是针对mem的描述符。首先,我们回顾一下lsof命令的基本知识:lsof(listopenfiles)是一个列出当前系统打开文件的工具。在Unix中,一切皆文件,包括网络连接、设备、目录等,所以lsof可以查看很多信息。-d选项用于指定要列出的文件描述符(filedescriptor)。描述符可以是数字、范围或描述符名称(如mem,txt等)。根据引用[1]和引用[3]中的信息(虽然引用[1]是关于lsof命令的示例,引用[3]是关于GVFS的警告,但我们可以结合一般知识):在lsof中,有一些特殊的描述符名称,比如:mem:内存映射文件txt:程序文本(代码)因此,使用-dmem选项将只列出那些被标记为内存映射文件的打开文件。具体用法:lsof-dmem这将显示所有类型为内存映射文件的打开文件。我们也可以组合其他选项,比如:lsof-dmem-c<进程名>#查看特定进程的内存映射文件lsof-dmem-p<PID>#查看特定进程ID的内存映射文件注意:由于内存映射文件通常与共享内存、动态库加载等相关,这个选项在分析进程内存使用情况时很有用。示例:lsof-dmem-p1234这将显示进程ID为1234的进程所打开的所有内存映射文件。另外,引用[3]中提到关于GVFS的警告,这通常出现在使用lsof时,但我们可以忽略,因为它是用户空间文件系统(FUSE)的问题,不影响结果。因此,我们回答用户的问题:如何使用lsof命令的-dmem选项。注意:根据系统级指令,我们需要使用行内数学表达式(如果有的话)和独立公式(如果有的话),但这个问题不涉及数学公式,所以可以忽略。另外,我们需要用中文回答,并生成相关问题。回答结构:1.解释-d选项的作用,特别是mem描述符。2.给出基本用法示例。3.可以给出组合其他选项的示例。4.注意事项(如GVFS警告可忽略)。最后,生成相关问题。</think>### 使用 `lsof -d mem` 命令详解 `lsof -d mem` 命令用于列出系统中所有**内存映射文件**(memory-mapped files)。内存映射文件是进程通过系统调用(如 `mmap`)将文件或设备直接映射到其虚拟地址空间的一种机制,常用于共享内存、动态库加载等场景。以下是具体用法和示例: #### 1. **基本用法** ```bash lsof -d mem ``` - **作用**:列出所有进程打开的内存映射文件- **输出列含义**: - `COMMAND`:进程名称 - `PID`:进程ID - `USER`:运行进程的用户 - `FD`:文件描述符(显示为 `mem`) - `TYPE`:文件类型(如 `REG` 表示普通文件- `DEVICE`:设备号 - `SIZE/OFF`:文件大小/偏移量 - `NODE`:文件节点号 - `NAME`:映射的文件路径 #### 2. **组合其他选项** - **查看特定进程的内存映射**: ```bash lsof -d mem -p <PID> ``` 示例(查看 PID 1234 的内存映射): ```bash lsof -d mem -p 1234 ``` - **查看特定用户的内存映射**: ```bash lsof -d mem -u <username> ``` 示例(查看用户 `mysql` 的内存映射): ```bash lsof -d mem -u mysql ``` - **排除警告信息**(如 GVFS 错误): ```bash lsof -d mem 2>/dev/null ``` 说明:GVFS(GNOME 虚拟文件系统)是用户空间文件系统(FUSE),`root` 无法访问,相关警告可忽略[^3]。 #### 3. **典型输出示例** ``` COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME python3 1234 user mem REG 8,1 8694012 1234567 /usr/lib/libc.so.6 java 5678 app mem REG 8,1 2102410 7654321 /tmp/shared_memory ``` - **关键字段**: - `FD=mem`:表示内存映射文件描述符。 - `NAME`:映射的实际文件路径(如共享库、临时文件等)。 #### 4. **实际应用场景** - **调试内存泄漏**:检查进程是否映射了异常的大文件- **分析共享库**:确认进程加载的动态库(如 `.so` 文件)。 - **排查资源冲突**:识别多个进程共享的映射文件--- ### 相关问题 1. `lsof -d mem` 和 `pmap` 命令在分析进程内存映射时有何区别? 2. 如何通过 `lsof -d mem` 定位共享内存泄漏问题? 3. 内存映射文件(`mmap`)与普通文件 I/O 的性能差异是什么? 4. 为什么 `lsof` 会报告 GVFS 警告?如何避免这些警告干扰输出[^3]? [^1]: [10 lsof Command Examples in Linux](https://example.com/lsof-examples) [^3]: [lsof and GVFS Warning Explanation](https://example.com/lsof-gvfs-warning)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值