如何檢視linux中檔案開啟情況

前言

我們都知道,在linux下,“一切皆檔案”,因此有時候檢視檔案的開啟情況,就顯得格外重要,而這裡有一個命令能夠在這件事上很好的幫助我們-它就是lsof。

linux下有哪些檔案

在介紹lsof命令之前,先簡單說一下,linux主要有哪些檔案:

  • 普通檔案
  • 目錄
  • 符號連結
  • 面向塊的裝置檔案
  • 面向字元的裝置檔案
  • 管道和命名管道
  • 套接字

以上各類檔案型別不多做詳細介紹。

lsof命令實用用法介紹

lsof,是list open files的簡稱。它的引數很多,但是我們這裡只介紹一些實用的用法(注意有些情況需要root許可權執行)。

檢視當前開啟的所有檔案

一般來說,直接輸入lsof命令產生的結果實在是太多,可能很難找到我們需要的資訊。不過藉此說明一下一條記錄都有哪些資訊。

$ lsof(這裡選取一條記錄顯示) COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME vi 27940 hyb 7u REG 8,15 16384 137573 /home/hyb/.1.txt.swp    

lsof顯示的結果,從左往右分別代表:開啟該檔案的程式名,程序id,使用者,檔案描述符,檔案型別,裝置,大小,iNode號,檔名。

我們暫且先關注我們知道的列。這條記錄,表明程序id為27940的vi程式,開啟了檔案描述值為7,且處於讀寫狀態的,在/home/hyb目錄下的普通檔案(REG regular file).1.txt.swap,當前大小16384位元組。

列出被刪除但佔用空間的檔案

在生產環境中,我們可能會使用df命令看到磁碟空間佔滿了,然而實際上又很難找到佔滿空間的檔案,這常常是由於某個大檔案被刪除了,但是它卻被某個程序開啟,導致通過普通的方式找不到它的蹤跡,最常見的就是日誌檔案。我們可以通過lsof來發現這樣的檔案:

$ lsof |grep deleted Xorg 1131 root 125u REG 0,5 4 61026 /memfd:xshmfence (deleted) Xorg 1131 root 126u REG 0,5 4 62913 /memfd:xshmfence (deleted) Xorg 1131 root 129u REG 0,5 4 74609 /memfd:xshmfence (deleted)    

可以看到這些被刪除的但仍然被開啟檔案,最後查詢出來的時候,會被標記deleted。這個時候就可以根據實際情況分析,到底哪些檔案可能過大但是卻被刪除了,導致空間仍然佔滿。

恢復開啟但被刪除的檔案

前面我們可以找到被刪除但是仍然被開啟的檔案,實際上檔案並沒有真正的消失,如果是意外被刪除的,我們還有手段恢復它。以/var/log/syslog檔案為例,我們先刪除它(root使用者):

$ rm /var/log/syslog    

然後使用lsof檢視那個程序開啟了該檔案:

$ lsof |grep syslog rs:main 993 1119 syslog 5w REG 8,10 78419 528470 /var/log/syslog (deleted)    

可以找到程序id為993的程序開啟了該檔案,我們知道每個程序在/proc下都有檔案描述符開啟的記錄:

$ ls -l /proc/993/fd lr-x------ 1 root root 64 3月 5 18:30 0 -> /dev/null l-wx------ 1 root root 64 3月 5 18:30 1 -> /dev/null l-wx------ 1 root root 64 3月 5 18:30 2 -> /dev/null lrwx------ 1 root root 64 3月 5 18:30 3 -> socket:[15032] lr-x------ 1 root root 64 3月 5 18:30 4 -> /proc/kmsg l-wx------ 1 root root 64 3月 5 18:30 5 -> /var/log/syslog (deleted) l-wx------ 1 root root 64 3月 5 18:30 6 -> /var/log/auth.log    

這裡就找到了被刪除的syslog檔案,檔案描述符是5,我們把它重定向出來:

$ cat /proc/993/fd/5 > syslog $ ls -al /var/log/syslog -rw-r--r-- 1 root root 78493 3月 5 19:22 /var/log/syslog    

這樣我們就恢復了syslog檔案。

檢視當前檔案被哪些程序開啟

Windows下經常遇到要刪除某個檔案,然後告訴你某個程式正在使用,然而不告訴你具體是哪個程式。我們可以在資源管理器-效能-資源監視器-cpu-關聯的控制代碼處搜尋檔案,即可找到開啟該檔案的程式,但是搜尋速度感人。

linux就比較容易了,使用lsof命令就可以了,例如要檢視當前哪些程式開啟了hello.c:

$ lsof hello.c COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME tail 28731 hyb 3r REG 8,15 228 138441 hello.c    

但是我們會發現,使用vi開啟的hello.c並沒有找出來,這是因為vi開啟的是一個臨時副本。我們換一種方式查詢:

$ lsof |grep hello.c tail 28906 hyb 3r REG 8,15 228 138441 /home/hyb/workspaces/c/hello.c vi 28933 hyb 9u REG 8,15 12288 137573 /home/hyb/workspaces/c/.hello.c.swp    

這樣我們就找到了兩個程式和hello.c檔案相關。

這裡grep的作用是從所有結果中只列出符合條件的結果。

檢視某個目錄檔案被開啟情況

$ lsof  D ./    

檢視當前程序開啟了哪些檔案

使用方法:lsof -c 程序名

通常用於程式定位問題,例如用於檢視當前程序使用了哪些庫,開啟了哪些檔案等等。假設有一個迴圈列印字元的hello程式:

$ lsof -c hello COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME hello 29190 hyb cwd DIR 8,15 4096 134538 /home/hyb/workspaces/c hello 29190 hyb rtd DIR 8,10 4096 2 / hello 29190 hyb txt REG 8,15 9816 138314 /home/hyb/workspaces/c/hello hello 29190 hyb mem REG 8,10 1868984 939763 /lib/x86_64-linux-gnu/libc-2.23.so hello 29190 hyb mem REG 8,10 162632 926913 /lib/x86_64-linux-gnu/ld-2.23.so hello 29190 hyb 0u CHR 136,20 0t0 23 /dev/pts/20 hello 29190 hyb 1u CHR 136,20 0t0 23 /dev/pts/20 hello 29190 hyb 2u CHR 136,20 0t0 23 /dev/pts/20    

我們可以從中看到,至少它用到了
       /lib/x86_64-linux-gnu/libc-2.23.so以及hello檔案。

也可以通過程序id檢視,可跟多個程序id,使用逗號隔開:

$ lsof -p 29190 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME hello 29190 hyb cwd DIR 8,15 4096 134538 /home/hyb/workspaces/c hello 29190 hyb rtd DIR 8,10 4096 2 / hello 29190 hyb txt REG 8,15 9816 138314 /home/hyb/workspaces/c/hello hello 29190 hyb mem REG 8,10 1868984 939763 /lib/x86_64-linux-gnu/libc-2.23.so hello 29190 hyb mem REG 8,10 162632 926913 /lib/x86_64-linux-gnu/ld-2.23.so hello 29190 hyb 0u CHR 136,20 0t0 23 /dev/pts/20 hello 29190 hyb 1u CHR 136,20 0t0 23 /dev/pts/20 hello 29190 hyb 2u CHR 136,20 0t0 23 /dev/pts/20    

當然這裡還有一種方式,就是利用proc檔案系統,首先找到hello程序的程序id

:

$ ps -ef|grep hello hyb 29190 27929 0 21:14 pts/20 00:00:00 ./hello 2 hyb 29296 28848 0 21:18 pts/22 00:00:00 grep --color=auto hello    

可以看到程序id為29190,檢視該程序檔案描述記錄目錄:

$ ls -l /proc/29190/fd lrwx------ 1 hyb hyb 64 3月 2 21:14 0 -> /dev/pts/20 lrwx------ 1 hyb hyb 64 3月 2 21:14 1 -> /dev/pts/20 lrwx------ 1 hyb hyb 64 3月 2 21:14 2 -> /dev/pts/20    

這種方式能夠過濾很多資訊,因為它只列出了該程序實際開啟的,這裡它只開啟了1,2,3,即標準輸入,標準輸出和標準錯誤。

檢視某個埠被佔用情況

在使用資料庫或者啟用web服務的時候,總能遇到埠占用問題,那麼怎麼檢視某個埠是否被佔用呢?

$ lsof -i :6379 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME redis-ser 29389 hyb 6u IPv6 534612 0t0 TCP *:6379 (LISTEN) redis-ser 29389 hyb 7u IPv4 534613 0t0 TCP *:6379 (LISTEN)    

這裡可以看到redis-ser程序佔用了6379埠。

檢視所有的TCP/UDP連線

$ lsof -i tcp ava 2534 hyb 6u IPv6 31275 0t0 TCP localhost:9614 (LISTEN) java 2534 hyb 22u IPv6 96922 0t0 TCP localhost:9614->localhost:39004 (ESTABLISHED) java 2534 hyb 23u IPv6 249588 0t0 TCP localhost:9614->localhost:45460 (ESTABLISHED)    

當然我們也可以使用netstat命令。

$ netstat -anp|grep 6379    

這裡的-i引數可以跟多種條件:

  • -i 4 #ipv4地址
  • -i 6 #ipv6地址
  • -i tcp #tcp連線
  • -i :3306 #埠
  • -i @ip #ip地址

因此需要檢視與某個ip地址建立的連線時,可以使用下面的方式:

$ lsof [email protected]    

檢視某個使用者開啟了哪些檔案

linux是一個多使用者作業系統,怎麼知道其他普通使用者開啟了哪些檔案呢?可使用-u引數

$ lsof -u hyb (內容太多,省略)    

列出除了某個程序或某個使用者開啟的檔案

實際上和前面使用方法類似,只不過,在程序id前面或者使用者名稱前面加^,例如:

lsof -p ^1 #列出除程序id為1的程序以外開啟的檔案 lsof -u ^root #列出除root使用者以外開啟的檔案    

總結

微信公眾號【程式設計珠璣】:專注但不限於分享計算機程式設計基礎,Linux,C語言,C ,演算法,資料庫等程式設計相關[原創]技術文章,號內包含大量經典電子書和視訊學習資源。歡迎一起交流學習,一起修煉計算機“內功”,知其然,更知其所以然。

以上介紹基於一個條件,實際上多個條件可以組合,例如列出程序id為1的程序開啟的tcp套接字檔案:

lsof -p 1 -i tcp    

lsof引數很多,具體的可以使用man命令檢視,但是對於我們來說,知道這些實用的基本足夠。

微信公眾號【程式設計珠璣】:專注但不限於分享計算機程式設計基礎,Linux,C語言,C ,演算法,資料庫等程式設計相關[原創]技術文章,號內包含大量經典電子書和視訊學習資源。歡迎一起交流學習,一起修煉計算機“內功”,知其然,更知其所以然。