Linux-文件分析-lsof

本文详细介绍了lsof命令的功能及使用方法,包括如何通过lsof查找应用程序打开的文件名称和数量,如何查看进程占用的文件和端口等。此外,还对比了lsof与tcpdump和netstat等命令的区别。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


lsof(list open files)


 lsof 需要访问核心内存和各种文件,所以必须以 root 用户的身份运行它才能够充分地发挥其功能。
一. 参数分析

lsof输出各列信息的意义如下:


type 列则比较直观。文件和目录分别称为 reg 和 dir。而chr 和 blk,分别表示字符和块设备;或者 unix、fifo 和 ipv4,分别表示 unix 域套接字、先进先出 (fifo) 队列和网际协议 ( ip ) 套接字。

二. 常用命令
lsof 常见的用法是查找应用程序打开的文件的名称和数目。可用于查找出某个特定应用程序将日志数据记录到何处,或者正在跟踪某个问题。例如,linux限制了进程能够打开文件的数目。通常这个数值很大,所以不会产生问题,并且在需要时,应用程序可以请求更大的值(直到某个上限)。如果你怀疑应用程序耗尽了文件描述符,那么可以使用 lsof 统计打开的文件数目,以进行验证。

lsof `which httpd` //那个进程在使用apache的可执行文件
lsof /etc/passwd //那个进程在占用/etc/passwd
lsof /dev/hda6 //那个进程在占用hda6
lsof /dev/cdrom //那个进程在占用光驱
lsof -c sendmail //查看sendmail进程的文件使用情况
lsof -c courier -u ^zahn //显示出那些文件被以courier打头的进程打开,但是并不属于用户zahn
lsof -p 30297 //显示那些文件被pid为30297的进程打开
lsof -D /tmp 显示所有在/tmp文件夹中打开的instance和文件的进程。但是symbol文件并不在列

lsof -u1000 //查看uid是100的用户的进程的文件使用情况
lsof -utony //查看用户tony的进程的文件使用情况
lsof -u^tony //查看不是用户tony的进程的文件使用情况(^是取反的意思)
lsof -i //显示所有打开的端口
lsof -i: 80 //显示所有打开80端口的进程
lsof -i -U //显示所有打开的端口和UNIX domain文件
lsof -i UDP@[url]www.test.com: 123 //显示那些进程打开了到www.akadia.com的UDP的123(ntp)端口的链接
lsof -i tcp@test.com:ftp -r //不断查看目前ftp连接的情况(-r,lsof会永远不断的执行,直到收到中断信号,+r,lsof会一直执行,直到没有档案被显示,缺省是15s刷新)
lsof -i tcp@test.com:ftp -n //lsof -n 不将IP转换为hostname,缺省是不加上-n参数


三. 其他
tcpdump程序
tcpdump一边从网络读入分组一边显示关于这些分组的大量信息。它还能够只显示与所指定的准则匹配的那些分组。

netstat程序
netstat服务于多个目的:
(1)展示网络端点的状态。
(2)展示某个主机上各个接口所属的多播组。
(3)使用-s选项显示各个协议的统计信息。
(4)使用-r选项显示路由表或使用-i选项显示接口信息。

lsof程序
名字lsof代表“list open files”,即列出打开的文件。
lsof的常见用途之一是找出哪个进程在指定的IP地址或端口号上打开了一个套接口。netstat告诉我们哪些IP地址和端口正在使用中以及各个TCP连接的状态,却没有标识相应的进程。lsof弥补这个缺陷。



相关文章:
Linux 命令神器:lsof 入门 https://linux.cn/article-4099-1.html


<think>我们正在处理用户关于lsof命令使用-dmem选项的查询。根据用户的问题:"howtouselsofcommandwith-dmemoption",我们需要解释lsof命令中-d选项的用法,特别是针对mem的描述符。首先,我们回顾一下lsof命令的基本知识:lsof(listopenfiles)是一个列出当前系统打开文件的工具。在Unix中,一切皆文件,包括网络连接、设备、目录等,所以lsof可以查看很多信息。-d选项用于指定要列出的文件描述符(filedescriptor)。描述符可以是数字、范围或描述符名称(如mem,txt等)。根据引用[1]和引用[3]中的信息(虽然引用[1]是关于lsof命令的示例,引用[3]是关于GVFS的警告,但我们可以结合一般知识):在lsof中,有一些特殊的描述符名称,比如:mem:内存映射文件txt:程序文本(代码)因此,使用-dmem选项将只列出那些被标记为内存映射文件的打开文件。具体用法:lsof-dmem这将显示所有类型为内存映射文件的打开文件。我们也可以组合其他选项,比如:lsof-dmem-c<进程名>#查看特定进程的内存映射文件lsof-dmem-p<PID>#查看特定进程ID的内存映射文件注意:由于内存映射文件通常与共享内存、动态库加载等相关,这个选项在分析进程内存使用情况时很有用。示例:lsof-dmem-p1234这将显示进程ID为1234的进程所打开的所有内存映射文件。另外,引用[3]中提到关于GVFS的警告,这通常出现在使用lsof时,但我们可以忽略,因为它是用户空间文件系统(FUSE)的问题,不影响结果。因此,我们回答用户的问题:如何使用lsof命令的-dmem选项。注意:根据系统级指令,我们需要使用行内数学表达式(如果有的话)和独立公式(如果有的话),但这个问题不涉及数学公式,所以可以忽略。另外,我们需要用中文回答,并生成相关问题。回答结构:1.解释-d选项的作用,特别是mem描述符。2.给出基本用法示例。3.可以给出组合其他选项的示例。4.注意事项(如GVFS警告可忽略)。最后,生成相关问题。</think>### 使用 `lsof -d mem` 命令详解 `lsof -d mem` 命令用于列出系统中所有**内存映射文件**(memory-mapped files)。内存映射文件是进程通过系统调用(如 `mmap`)将文件或设备直接映射到其虚拟地址空间的一种机制,常用于共享内存、动态库加载等场景。以下是具体用法和示例: #### 1. **基本用法** ```bash lsof -d mem ``` - **作用**:列出所有进程打开的内存映射文件- **输出列含义**: - `COMMAND`:进程名称 - `PID`:进程ID - `USER`:运行进程的用户 - `FD`:文件描述符(显示为 `mem`) - `TYPE`:文件类型(如 `REG` 表示普通文件- `DEVICE`:设备号 - `SIZE/OFF`:文件大小/偏移量 - `NODE`:文件节点号 - `NAME`:映射的文件路径 #### 2. **组合其他选项** - **查看特定进程的内存映射**: ```bash lsof -d mem -p <PID> ``` 示例(查看 PID 1234 的内存映射): ```bash lsof -d mem -p 1234 ``` - **查看特定用户的内存映射**: ```bash lsof -d mem -u <username> ``` 示例(查看用户 `mysql` 的内存映射): ```bash lsof -d mem -u mysql ``` - **排除警告信息**(如 GVFS 错误): ```bash lsof -d mem 2>/dev/null ``` 说明:GVFS(GNOME 虚拟文件系统)是用户空间文件系统(FUSE),`root` 无法访问,相关警告可忽略[^3]。 #### 3. **典型输出示例** ``` COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME python3 1234 user mem REG 8,1 8694012 1234567 /usr/lib/libc.so.6 java 5678 app mem REG 8,1 2102410 7654321 /tmp/shared_memory ``` - **关键字段**: - `FD=mem`:表示内存映射文件描述符。 - `NAME`:映射的实际文件路径(如共享库、临时文件等)。 #### 4. **实际应用场景** - **调试内存泄漏**:检查进程是否映射了异常的大文件- **分析共享库**:确认进程加载的动态库(如 `.so` 文件)。 - **排查资源冲突**:识别多个进程共享的映射文件--- ### 相关问题 1. `lsof -d mem` 和 `pmap` 命令在分析进程内存映射时有何区别? 2. 如何通过 `lsof -d mem` 定位共享内存泄漏问题? 3. 内存映射文件(`mmap`)与普通文件 I/O 的性能差异是什么? 4. 为什么 `lsof` 会报告 GVFS 警告?如何避免这些警告干扰输出[^3]? [^1]: [10 lsof Command Examples in Linux](https://example.com/lsof-examples) [^3]: [lsof and GVFS Warning Explanation](https://example.com/lsof-gvfs-warning)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值