lsof 是 linux/unix 系统中用于列出所有打开文件的强大工具,1. 可通过 lsof -p
lsof
是一个非常强大的工具,能够列出所有打开的文件,包括常规文件、目录、网络套接字等,它在排查系统问题时特别有用。
查看进程打开的文件以及查询网络连接,
lsof
命令是 linux/Unix 系统管理员和开发者手中的一把利器。它的全称是 “list open files”,顾名思义,就是列出当前系统所有打开的文件。这里说的“文件”是一个广义的概念,它不仅包括我们通常理解的磁盘上的文件,还包括网络连接(套接字)、管道、设备文件、目录等等。
要查看某个特定进程打开了哪些文件,最直接的方式就是使用
lsof -p <PID>
。例如,如果我想看看我的 ssh 会话(通常是
sshd
进程)都打开了些什么,我会先用
ps aux | grep sshd
找到
sshd
的 PID,然后执行
lsof -p <那个PID>
。你会看到一长串输出,里面包含了这个进程正在访问的所有文件,从它加载的动态链接库,到它可能正在读写的日志文件,甚至它正在监听或建立的网络连接。
至于网络连接的查询,
lsof -i
是最常用的选项。它会列出所有打开的 Internet 文件(也就是网络套接字)。如果你想看某个特定端口被哪个进程占用,比如 80 端口,你可以用
lsof -i :80
。这在排查端口冲突或者确认某个服务是否正常监听时非常有用。我经常遇到一个服务启动失败,提示端口被占用的情况,这时候
lsof -i :端口号
一下,问题立马浮出水面。
为什么我们需要关心进程打开了哪些文件?
这问题问得好,很多人可能觉得,一个进程打开了什么文件,跟我有什么关系?但实际上,这背后隐藏着很多系统运行的秘密,也是我们排查问题、优化性能、甚至进行安全审计的关键线索。
首先,资源限制是个大问题。每个进程能打开的文件描述符(File Descriptor,FD)数量是有限的,系统也有一个总的限制。当一个应用程序出现“Too many open files”的错误时,
lsof
几乎是唯一能让你快速定位到是哪个进程、甚至具体是哪个部分在疯狂消耗文件句柄的工具。我曾遇到一个日志收集服务,因为配置错误,导致它不断地打开新的日志文件句柄而没有正确关闭,最终把系统的 FD 耗尽,影响了其他服务的正常运行。
lsof -p PID | wc -l
一看,几万个 FD,瞬间就找到了问题根源。
其次,调试和故障排查。一个服务启动不起来,或者行为异常,它可能在尝试读取一个不存在的配置文件,或者写入一个没有权限的日志目录。通过
lsof -p PID
,你可以清晰地看到它正在尝试访问哪些文件,哪些文件是它正常打开的,哪些可能是它失败后留下来的“痕迹”。这比翻阅一堆日志文件要直观得多,尤其是在日志本身可能也记录不全的情况下。
再者,安全审计。一个进程在后台偷偷摸摸地打开了某个敏感文件,或者建立了可疑的网络连接,这都可能是潜在的安全风险。通过定期检查关键进程的
lsof
输出,你可以发现一些非预期的行为。比如,一个 Web 服务器不应该去连接某个外部的非标准端口,如果发现了,那可能就需要深入调查了。
lsof命令在日常运维中的高级用法有哪些?
lsof
的强大之处在于它的灵活性和丰富的功能,远不止前面提到的那些基本用法。在日常运维中,我经常会用到一些组合拳,来更精准地定位问题。
比如说,我想看看某个用户,比如
用户,都打开了哪些文件,特别是网络连接。我可能会这样用:
lsof -u nginx
。这会列出
nginx
用户启动的所有进程所打开的文件。如果我只想看
nginx
用户相关的网络连接,那么
lsof -i -u nginx
就能帮我过滤出来。
有时候,我们需要查看某个特定目录下的文件被哪些进程打开了,这在卸载文件系统或者进行磁盘清理时非常有用。比如,我想知道
/var/log
下的文件被谁占用了,可以运行
lsof +D /var/log
。
+D
选项会递归地列出指定目录下所有打开的文件。如果我发现一个目录无法被删除,通常就是有进程还在使用其中的文件,
lsof
就能告诉我“罪魁祸首”是谁。
对于网络部分,除了
lsof -i :端口
,我还会用
lsof -i tcp:listen
来快速查看所有处于监听状态的 TCP 端口和对应的进程。这比
netstat -tulnp
更有优势的地方在于,它能直接显示文件描述符和进程路径,信息更全面。如果我想看某个 IP 地址的所有连接,比如
lsof -i @192.168.1.100
也是可以的。
另一个有用的场景是,当我知道一个进程的名称,但不知道它的 PID 时,可以用
lsof -c <command_name>
。比如,
lsof -c apache2
就能列出所有名为
apache2
的进程所打开的文件。这在服务名称和进程名称不完全一致,或者有多个同名进程时,非常方便。
lsof命令的输出结果如何解读?
lsof
的输出虽然信息量巨大,但只要掌握了几个关键列的含义,解读起来并不复杂。理解这些列是高效利用
lsof
的基础。
一个典型的
lsof
输出行通常包含以下几列:
- COMMAND: 启动这个文件或连接的命令名称。比如
sshd
、
nginx
、
等。
- PID: 进程的 ID。这是我们定位进程的唯一标识。
- USER: 启动这个进程的用户。这对于权限排查很有帮助。
- FD: 文件描述符(File Descriptor)。这是最核心也最复杂的一列。
- TYPE: 文件类型。
-
REG
: Regular file,普通文件。
-
DIR
: Directory,目录。
-
CHR
: Character special file,字符设备文件(如终端
/dev/pts/0
)。
-
BLK
: Block special file,块设备文件(如磁盘
/dev/sda
)。
-
FIFO
: FIFO special file,命名管道。
-
SOCK
: Socket,套接字(通常是 Unix 域套接字)。
-
IPv4
/
IPv6
: Internet 协议套接字。
-
- DEVICE: 设备号。对于磁盘文件,这通常是主设备号和次设备号。
- SIZE/OFF: 文件大小或文件偏移量。对于网络连接,这列通常为空。
- NODE: 文件的 inode 号。
- NAME: 文件的具体路径或网络连接的详细信息。
- 对于普通文件,是其在文件系统中的完整路径。
- 对于网络连接,格式通常是
协议->本地地址:本地端口->远程地址:远程端口 (状态)
。例如
TCP *:80 (LISTEN)
表示监听所有接口的 80 端口,
TCP 192.168.1.10:22->192.168.1.1:54321 (ESTABLISHED)
表示一个已建立的连接。
举个例子,一行输出可能是这样的:
sshd 1234 root 3u IPv4 0x1234567890 0t0 TCP *:22 (LISTEN)
这表示 PID 为 1234 的
sshd
进程,以 root 用户身份,打开了一个文件描述符 3,类型是 IPv4 套接字,正在监听所有接口的 22 号端口。
理解这些列的含义,你就能像侦探一样,从
lsof
的输出中抽丝剥茧,找到你需要的信息。它不仅仅是一个命令,更像是一个系统状态的快照,让你能深入了解每个进程的“内心世界”。
