linux之lsof使用技巧

linux下有哪些文件

  • 普通文件
  • 目录
  • 符号链接
  • 面向块的设备文件
  • 面向字符的设备文件
  • 管道和命名管道
  • 套接字

当前系统中所有被打开的文件

  1. > lsof
  2. COMMAND PID TID USER FD TYPE DEVICE SIZE/OFF NODE NAME
  3. systemd 1 root cwd DIR 253,1 288 64 /

lsof显示的结果,从左往右分别代表:打开该文件的程序名,进程id,用户,文件描述符,文件类型,设备,大小,iNode号,文件名。

列出被删除但占用空间的文件

在生产环境中,我们可能会使用df命令看到磁盘空间占满了,然而实际上又很难找到占满空间的文件,这常常是由于某个大文件被删除了,但是它却被某个进程打开,导致通过普通的方式找不到它的踪迹,最常见的就是日志文件。我们可以通过lsof来发现这样的文件:

  1. lsof | grep deleted
  2. vpnserver 1490 root 19w REG 253,1 391287670 33819714 /root/rumenz.log (deleted)

可以看到这些被删除的但仍然被打开文件,最后查找出来的时候,会被标记deleted。这个时候就可以根据实际情况分析,到底哪些文件可能过大但是却被删除了,导致空间仍然占满。

查看当前文件被哪些进程打开

第一个终端

  1. > vi rumenz.sh

第二个终端

  1. > tail -f rumenz.sh

第三个终端

  1. lsof rumenz.sh
  2. COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
  3. tail 28731 hyb 3r REG 8,15 228 138441 rumenz.sh

使用vi打开的rumenz.sh并没有找出来,这是因为vi打开的是一个临时副本

  1. > lsof |grep rumenz.sh

这样我们就找到了两个程序和rumenz.sh文件相关。

查看某个目录文件被打开情况

  1. > lsof +D ./

递归处理

显示目录下被进程开启的文件

  1. > lsof +d /usr/local/

查看当前进程打开了哪些文件

  1. > lsof -c 进程名

查看某个端口被占用情况

  1. > lsof -i :6379

查看所有TCP/UDP链接

  1. > lsof -i tcp

查看某个用户打开了哪些文件

  1. > lsof -u rumenz

通过某个进程号显示该进程打开的文件

  1. > lsof -p 12345

返回笔记列表
入门小站