Linux下lsof命令详解

这篇具有很好参考价值的文章主要介绍了Linux下lsof命令详解。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

lsof命令的基本使用方法

lsof命令简介:

lsof(list open files)是一个列出当前系统打开文件的工具,lsof 意义LiSt Open Files用于找出哪些文件被哪个进程打开。众所周知Linux/Unix将所有内容都视为文件(pipes,sockets,directories,devices等等)。使用的原因之一lsof命令是当磁盘无法卸载时,因为它表示正在使用文件。借助此命令,我们可以轻松识别正在使用的文件。

lsof命令的使用

1.使用lsof命令可以查看全部文件(此处取前五行)
[root@web2 ~]# lsof | head -5
COMMAND      PID  TID    USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
systemd        1         root  cwd       DIR              253,0       247         64 /
systemd        1         root  rtd       DIR              253,0       247         64 /
systemd        1         root  txt       REG              253,0   1632776     353452 /usr/lib/systemd/systemd
systemd        1         root  mem       REG              253,0     20064     116104 /usr/lib64/libuuid.so.1.3.0
2.输出各列信息的意义如下:
  1. COMMAND: 进程的名称

  1. PID: 进程标识符

  1. USER: 进程所有者

  1. FD: 文件描述符,应用程序通过文件描述符识别该文件,如cwd、txt等

  1. TYPE: 文件类型,如DIR、REG等

  1. DEVICE: 指定磁盘的名称

  1. SIZE: 文件的大小

  1. NODE: 索引节点(文件在磁盘上的标识)

  1. NAME: 打开文件的确切名称

3.具体的使用方法和示例
# 列出用户特定打开的文件 (列出跟 ysy 用户有关的文件)
[root@web2 ~]# lsof -u ysy

# 列出在特定端口上运行的文件 ,要找出特定端口上所有正在运行的进程,只需使用以下带有选项的命令  -i.下面的例子将列出 22 端口的所有正在运行的进程
[root@web2 ~]# lsof -i TCP:22
COMMAND   PID USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
sshd     1086 root    3u  IPv4   19888      0t0  TCP *:ssh (LISTEN)
sshd     1086 root    4u  IPv6   19890      0t0  TCP *:ssh (LISTEN)

# 列出 IPV4 和 IPV6 打开的文件
[root@web2 ~]# lsof -i 4
COMMAND   PID   USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
chronyd   713 chrony    5u  IPv4   18662      0t0  UDP localhost:323
sshd     1086   root    3u  IPv4   19888      0t0  TCP *:ssh (LISTEN)


[root@web2 ~]# lsof -i 6
COMMAND  PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
chronyd  713 chrony    6u  IPv6  18663      0t0  UDP localhost:323
sshd    1086   root    4u  IPv6  19890      0t0  TCP *:ssh (LISTEN)
master  1323   root   14u  IPv6  21312      0t0  TCP localhost:smtp (LISTEN)

# 用  ^ 排除用户
# 列出不是 root 用户打开的文件
[root@web2 ~]# lsof -u ^root | head -3
COMMAND     PID TID    USER   FD      TYPE             DEVICE SIZE/OFF     NODE NAME
polkitd     704     polkitd  cwd       DIR              253,0      247       64 /
polkitd     704     polkitd  rtd       DIR              253,0      247       64 /

# 列出所有网络连接,带有选项的以下命令‘-i’显示所有网络连接的列表'LISTENING & ESTABLISHED’.
[root@web2 ~]# lsof -i
COMMAND   PID   USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
chronyd   713 chrony    5u  IPv4   18662      0t0  UDP localhost:323
chronyd   713 chrony    6u  IPv6   18663      0t0  UDP localhost:323
sshd     1086   root    3u  IPv4   19888      0t0  TCP *:ssh (LISTEN)
sshd     1086   root    4u  IPv6   19890      0t0  TCP *:ssh (LISTEN)
master   1323   root   13u  IPv4   21311      0t0  TCP localhost:smtp (LISTEN)
master   1323   root   14u  IPv6   21312      0t0  TCP localhost:smtp (LISTEN)
sshd    52786   root    3u  IPv4 1440411      0t0  TCP web2:ssh->192.168.88.1:50764 (ESTABLISHED)
sshd    52794   root    3u  IPv4 1442022      0t0  TCP web2:ssh->192.168.88.1:50766 (ESTABLISHED)
sshd    55495   root    3u  IPv4 1447243      0t0  TCP web2:ssh->192.168.88.1:54874 (ESTABLISHED)
sshd    55502   root    3u  IPv4 1446814      0t0  TCP web2:ssh->192.168.88.1:54876 (ESTABLISHED)

# 按 PID 进程号搜索,搜索进程号是 2 的进程的相关信息
[root@web2 ~]# lsof -p 2
COMMAND  PID USER   FD      TYPE DEVICE SIZE/OFF NODE NAME
kthreadd   2 root  cwd       DIR  253,0      247   64 /
kthreadd   2 root  rtd       DIR  253,0      247   64 /

# 根据文件描述符 FD 来查看文件,查看 FD 为 2 的文件信息
[root@web2 ~]# lsof -d 2
COMMAND      PID    USER   FD   TYPE             DEVICE SIZE/OFF    NODE NAME
systemd        1    root    2u   CHR                1,3      0t0    9218 /dev/null
polkitd      704 polkitd    2u   CHR                1,3      0t0    9218 /dev/null
dbus-daem    709    dbus    2u  unix 0xffff9660f60361c0      0t0   18649 socket
chronyd      713  chrony    2u   CHR                1,3      0t0    9218 /dev/null
agetty    126131    root    2u   CHR                4,1      0t0    9233 /dev/tty1


# 杀死特定用户的所有活动,有时你可能必须终止特定用户的所有进程。下面的命令将杀死所有进程 ysy 用户。
[root@web2 ~]# kill -9 ` lsof -t -u ysy `        # `号后有空格

其他使用场景举例

同事今天请假了,但负责的webserver服务出现了问题,老板让你看一下webserver服务的日志,但你不知道webserver服务的日志文件路径,配置文件太复杂你不太懂,这时你可以执行以下命令查看日志文件路径。
[root@web2 ~]$ lsof -c webserver | grep -e 'log$'
webserver  10124  devl  4u  REG 253,1  8814787  109523 /home/devl/application/webserver/log/webserver.00.log
新来的同事误删除了的webserver服务的日志文件,现在线上环境有一个问题,需要查看webserver日志,老板让紧急处理一下,这时你想到lsof命令。是的,你可以执行命令查看日志文件的文件句柄,根据句柄得到日志文件在webserver进程中的映射路径(/proc/进程ID/fd/句柄)。
[root@web2 ~]$ lsof -c webserver | grep -e 'log$'
webserver  10124  devl  4u  REG 253,1  8814787  109523 /home/devl/application/webserver/log/webserver.00.log
命令执行结果显示webserver服务的进程ID10124,日志文件句柄为4u(即4号句柄),所以/proc/10124/fd/4就是日志文件在webserver进程中的映射路径,这时你用tail命令就可查看日志文件了。
[root@web2 ~]$ tail -f /proc/10124/fd/4
[20190602 09:51:04|INF] start route ping process success
[20190602 09:51:04|INF] ping host[127.0.0.1:8888][3951] success
[20190602 09:51:09|INF] check session success
当进程打开了某个文件时,只要该进程保持打开该文件,即使将其删除,它依然存在于磁盘中。这意味着,进程并不知道文件已经被删除,它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外,这个文件是不可见的,因为已经删除了其相应的目录索引节点。 在/proc 目录下,其中包含了反映内核和进程树的各种文件。/proc目录挂载的是在内存中所映射的一块区域,所以这些文件和目录并不存在于磁盘中,因此当我们对这些文件进行读取和写入时,实际上是在从内存中获取相关信息。大多数与 lsof相关的信息都存储于以进程的 PID 命名的目录中,即 /proc/1234中包含的是 PID1234的进程的信息。每个进程目录中存在着各种文件,它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof 程序使用该信息和其他关于内核内部状态的信息来产生其输出。所以lsof可以显示进程的文件描述符和相关的文件名等信息。也就是我们通过访问进程的文件描述符可以找到该文件的相关信息。 当系统中的某个文件被意外地删除了,只要这个时候系统中还有进程正在访问该文件,那么我们就可以通过lsof/proc目录下恢复该文件的内容。

Linux 磁盘空间释放问题

1.应用场景
IDC里的一台服务器的/分区使用率爆满了!已达到100%!经查看发现有个文件过大(80G),于是在跟有关同事确认后rm -f果断删除该文件。但是发现删除该文件后,/分区的磁盘空间压根没有释放出来,使用率还是100%!这是为什么呢?
[root@web2 ~]# df -h
文件系统                 容量  已用  可用 已用% 挂载点
devtmpfs                 898M  1.3M  897M    1% /dev
tmpfs                    910M     0  910M    0% /dev/shm
tmpfs                    910M   58M  853M    7% /run
tmpfs                    910M     0  910M    0% /sys/fs/cgroup
/dev/mapper/centos-root   17G  17G   0G    100% /
/dev/sr0                 9.5G  9.5G     0  100% /dvd
2.原因分析
Linux系统中,通过rm或者文件管理器删除文件,只是将它会从文件系统的目录结构上解除链接(unlink),也就是说只是删除了文件和系统目录结构的链接;
如果文件在删除时是被打开的(有一个进程正在使用该文件,文件被进程锁定或者有进程一直在向这个文件写数据等)状态,那么进程将仍然可以读取该文件,也就是说没有删除掉文件在读取的状态,所以磁盘空间也就会一直被占用。
一个文件在文件系统中的存放分为两个部分:数据部分指针部分,指针位于文件系统的meta-data中,数据被删除后,这个指针就从meta-data中清除了,文件数据部分占用的空间就可以被覆盖并写入新的内容,之所以出现删除文件后空间还没释放,就是因为有进程还在一直向这个文件写入内容,导致虽然删除了文件,但文件对应的指针部分由于进程锁定,并未从meta-data中清除,而由于指针并未被删除,那么系统内核就认为文件并未被删除,因此通过df命令查询空间并未释放也就不足为奇了。
3解决措施
1.通过 lsof | grep deleted 命令获取到已经被删除但是仍然被应用程序占用的文件列表,然后kill PID掉还在占用所删除文件的进程。需要注意的是:如果有很多进程都在使用所删除文件,那么采用这种方式kill进程就有点麻烦了,而且风险也比较大。
[root@web2 ~]# lsof | grep /root/rback  # 查看目录相关信息
vim        18542           root  cwd       DIR           7,0      1024          2 /root/rback
vim        18542           root    3u      REG           7,0     12288         12 /root/rback/.name.txt.swp
bash      126292           root  cwd       DIR           7,0      1024          2 /root/rback


[root@web2 ~]# rm -rf /root/rback/.name.txt.swp   # 删除文件

[root@web2 ~]# lsof | grep name.txt     # 文件被删除,但仍然被应用程序占用的文件,后面有 delete 标识
vim        18542           root    3u      REG          7,0     12288         12 /root/rback/.name.txt.swp (deleted)

[root@web2 ~]# lsof | grep delete # 查找被删除,但仍然被进程占用的文件
vim        18542           root    3u      REG                7,0     12288         12 /root/rback/.name.txt.swp (deleted)

[root@web2 ~]#kill -9  18542  # 杀死该进程,即可释放被删除的文件

2.对待这种进程不停对文件写日志的操作,要释放文件占用的磁盘空间,最好的方法是在线清空这个文件。通过这种方法,磁盘空间不但可以马上释放,也可保障进程继续向文件写入日志。

在线清空文件(比如/home/wangshibo.log)的方式:文章来源地址https://www.toymoban.com/news/detail-597721.html

a)# echo " " > /home/wangshibo.log
b)# cat /dev/null > /home/wangshibo.log
c)# > /home/wangshibo.log

到了这里,关于Linux下lsof命令详解的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【珍藏版】linux lsof命令详解

    一、lsof命令简介 lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分

    2024年02月13日
    浏览(47)
  • 运维 | 查看 Linux 服务器 IP 地址

    大多数在操作 Linux 系统时,我们经常需要知道服务器的 IP 比便于后续的一系列操作,这时候有快速查看主机 IP 的命令行操作,能够有效的帮助我们 本章节主要记录一些常用查看服务器 IP 的命令,希望对大家有所帮助。 查看 Linux 服务器的 IP 地址的命令大体上有以下几种。

    2024年04月27日
    浏览(81)
  • 【运维】Linux 跨服务器复制文件文件夹

    如果是云服务 建议用内网ip scp是secure copy的简写,用于在Linux下进行远程拷贝文件的命令,和它类似的命令有cp,不过cp只是在本机进行拷贝不能跨服务器,而且scp传输是加密的。可能会稍微影响一下速度。当你服务器硬盘变为只读 read only system时,用scp可以帮你把文件移出来

    2024年02月08日
    浏览(74)
  • 【Linux运维】shell脚本检查服务器内存和CPU利用率

    在管理服务器时候写了一个 shell脚本,在服务上实现每天凌晨3点查系统的指定文件夹下的容量大小,如果超过10G就要删除3天前的内容,还要时刻查询内存和cpu利用率,如果超过80%就要提示用户出现过载 将以上代码保存为一个.sh文件,然后通过crontab在每天凌晨3点运行即可:

    2024年02月09日
    浏览(67)
  • Linux服务器常见运维性能测试(1)综合跑分unixbench、superbench

    最近需要测试一批服务器的相关硬件性能,以及在常规环境下的硬件运行稳定情况,需要持续拷机测试稳定性。所以找了一些测试用例。本次测试包括在服务器的高低温下性能记录及压力测试,高低电压下性能记录及压力测试,常规环境下CPU满载稳定运行的功率记录。 这个系

    2024年02月04日
    浏览(82)
  • Linux本地部署1Panel服务器运维管理面板并实现公网访问

    1Panel 是一个现代化、开源的 Linux 服务器运维管理面板。高效管理,通过 Web 端轻松管理 Linux 服务器,包括主机监控、文件管理、数据库管理、容器管理等 下面我们介绍在Linux 本地安装1Panel 并结合cpolar 内网穿透工具实现远程访问1Panel 管理界面 执行如下命令一键安装 1Panel: 安

    2024年02月04日
    浏览(98)
  • linux服务器禁止ping命令,linux服务器禁ping如何解除

      我是艾西,在我们搭建网站或做某些程序时,不少人会问禁ping是什么意思,怎么操作的对于业务有哪些好处等,今天艾西一次给你们说清楚。 禁PING的意思是:不允许电脑、设备或服务器使用PING功能。一般情况下电脑、防火墙、服务器都是允许PING功能的,不需要特别设置

    2023年04月20日
    浏览(50)
  • [1Panel]开源,现代化,新一代的 Linux 服务器运维管理面板

    本期测评试用一下1Panel这款面板。1Panel是国内飞致云旗下开源产品。整个界面简洁清爽,后端使用GO开发,前端使用VUE的Element-Plus作为UI框架,整个面板的管理都是基于docker的,想法很先进。官方还提供了视频的使用教程,本期为大家按照本专栏的基本内容进行多方面的测评。

    2024年02月07日
    浏览(94)
  • Linux 命令|服务器相关

    【精选】在公共Linux服务器上创建自己的python虚拟环境_服务器创建自己的环境-CSDN博客 1. nvidia-smi命令详解-CSDN博客 2. 查看进程 top 和 ps 啥区别? ps 可以查看所有状态的进程? top 实时查看运行态的进程? 在本地 Mac 计算机的终端中,使用以下命令将文件上传到服务器 其中,

    2024年02月07日
    浏览(50)
  • Linux 配置常见服务器命令

    Linux常见配置服务器的命令整理,基于Centos 7 。 配置web nginx msyql 这里再附一份nginx详细配置文件(一般用于项目部署):

    2024年02月16日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包