歡迎光臨
每天分享高質量文章

如何查看Linux中檔案打開情況?

來自:編程珠璣(微信號:shouwangxiansheng)

前言

我們都知道,在linux下,“一切皆檔案”,因此有時候查看檔案的打開情況,就顯得格外重要,而這裡有一個命令能夠在這件事上很好的幫助我們-它就是lsof。

linux下有哪些檔案

在介紹lsof命令之前,先簡單說一下,linux主要有哪些檔案:

  • 普通檔案

  • 目錄

  • 符號鏈接

  • 面向塊的設備檔案

  • 面向字符的設備檔案

  • 管道和命名管道

  • 套接字

以上各類檔案型別不多做詳細介紹。

lsof命令實用用法介紹

lsof,是list open files的簡稱。它的引數很多,但是我們這裡只介紹一些實用的用法(註意有些情況需要root權限執行)。

查看當前打開的所有檔案

一般來說,直接輸入lsof命令產生的結果實在是太多,可能很難找到我們需要的信息。不過藉此說明一下一條記錄都有哪些信息。

$ lsof(這裡選取一條記錄顯示)
COMMAND   PID                      USER   FD             TYPE        DEVICE SIZE/OFF   NODE   NAME
vi        27940                    hyb    7u      REG               8,15     16384     137573 /home/hyb/.1.txt.swp

lsof顯示的結果,從左往右分別代表:打開該檔案的程式名,行程id,用戶,檔案描述符,檔案型別,設備,大小,iNode號,檔案名。

我們暫且先關註我們知道的列。這條記錄,表明行程id為27940的vi程式,打開了檔案描述值為7,且處於讀寫狀態的,在/home/hyb目錄下的普通檔案(REG regular file).1.txt.swap,當前大小16384位元組。

列出被刪除但占用空間的檔案

在生產環境中,我們可能會使用df命令看到磁盤空間占滿了,然而實際上又很難找到占滿空間的檔案,這常常是由於某個大檔案被刪除了,但是它卻被某個行程打開,導致通過普通的方式找不到它的蹤跡,最常見的就是日誌檔案。我們可以通過lsof來發現這樣的檔案:

$ lsof |grep deleted
Xorg      1131 root  125u      REG                0,5        4      61026 /memfd:xshmfence (deleted)
Xorg      1131 root  126u      REG                0,5        4      62913 /memfd:xshmfence (deleted)
Xorg      1131 root  129u      REG                0,5        4      74609 /memfd:xshmfence (deleted)

可以看到這些被刪除的但仍然被打開檔案,最後查找出來的時候,會被標記deleted。這個時候就可以根據實際情況分析,到底哪些檔案可能過大但是卻被刪除了,導致空間仍然占滿。

恢復打開但被刪除的檔案

前面我們可以找到被刪除但是仍然被打開的檔案,實際上檔案並沒有真正的消失,如果是意外被刪除的,我們還有手段恢復它。以/var/log/syslog檔案為例,我們先刪除它(root用戶):

$ rm /var/log/syslog

然後使用lsof查看那個行程打開了該檔案:

$ lsof |grep syslog
rs:main    993 1119           syslog    5w      REG               8,10     78419     528470 /var/log/syslog (deleted)

可以找到行程id為993的行程打開了該檔案,我們知道每個行程在/proc下都有檔案描述符打開的記錄:

$ ls -l /proc/993/fd
lr-x------ 1 root   root   64 3月   5 18:30 0 -> /dev/null
l-wx------ 1 root   root   64 3月   5 18:30 1 -> /dev/null
l-wx------ 1 root   root   64 3月   5 18:30 2 -> /dev/null
lrwx------ 1 root   root   64 3月   5 18:30 3 -> socket:[15032]
lr-x------ 1 root   root   64 3月   5 18:30 4 -> /proc/kmsg
l-wx------ 1 root   root   64 3月   5 18:30 5 -> /var/log/syslog (deleted)
l-wx------ 1 root   root   64 3月   5 18:30 6 -> /var/log/auth.log

這裡就找到了被刪除的syslog檔案,檔案描述符是5,我們把它重定向出來:

$ cat /proc/993/fd/5 > syslog
$ ls -al /var/log/syslog
-rw-r--r-- 1 root root 78493 3月   5 19:22 /var/log/syslog

這樣我們就恢復了syslog檔案。

查看當前檔案被哪些行程打開

Windows下經常遇到要刪除某個檔案,然後告訴你某個程式正在使用,然而不告訴你具體是哪個程式。我們可以在資源管理器-性能-資源監視器-cpu-關聯的句柄處搜索檔案,即可找到打開該檔案的程式,但是搜索速度感人。

linux就比較容易了,使用lsof命令就可以了,例如要查看當前哪些程式打開了hello.c:

$ lsof hello.c
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF   NODE NAME
tail    28731  hyb    3r   REG   8,15      228 138441 hello.c

但是我們會發現,使用vi打開的hello.c並沒有找出來,這是因為vi打開的是一個臨時副本。我們換一種方式查找:

$ lsof |grep hello.c
tail      28906                    hyb    3r      REG               8,15       228     138441 /home/hyb/workspaces/c/hello.c
vi        28933                    hyb    9u      REG               8,15     12288     137573 /home/hyb/workspaces/c/.hello.c.swp

這樣我們就找到了兩個程式和hello.c檔案相關。

這裡grep的作用是從所有結果中只列出符合條件的結果。

查看某個目錄檔案被打開情況

 

$ lsof +D ./

查看當前行程打開了哪些檔案

使用方法:lsof -c 行程名
通常用於程式定位問題,例如用於查看當前行程使用了哪些庫,打開了哪些檔案等等。假設有一個迴圈打印字符的hello程式:

$ lsof -c hello
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF   NODE NAME
hello   29190  hyb  cwd    DIR   8,15     4096 134538 /home/hyb/workspaces/c
hello   29190  hyb  rtd    DIR   8,10     4096      2 /
hello   29190  hyb  txt    REG   8,15     9816 138314 /home/hyb/workspaces/c/hello
hello   29190  hyb  mem    REG   8,10  1868984 939763 /lib/x86_64-linux-gnu/libc-2.23.so
hello   29190  hyb  mem    REG   8,10   162632 926913 /lib/x86_64-linux-gnu/ld-2.23.so
hello   29190  hyb    0u   CHR 136,20      0t0     23 /dev/pts/20
hello   29190  hyb    1u   CHR 136,20      0t0     23 /dev/pts/20
hello   29190  hyb    2u   CHR 136,20      0t0     23 /dev/pts/20

我們可以從中看到,至少它用到了/lib/x86_64-linux-gnu/libc-2.23.so以及hello檔案。

也可以通過行程id查看,可跟多個行程id,使用逗號隔開:

$ lsof -p 29190
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF   NODE NAME
hello   29190  hyb  cwd    DIR   8,15     4096 134538 /home/hyb/workspaces/c
hello   29190  hyb  rtd    DIR   8,10     4096      2 /
hello   29190  hyb  txt    REG   8,15     9816 138314 /home/hyb/workspaces/c/hello
hello   29190  hyb  mem    REG   8,10  1868984 939763 /lib/x86_64-linux-gnu/libc-2.23.so
hello   29190  hyb  mem    REG   8,10   162632 926913 /lib/x86_64-linux-gnu/ld-2.23.so
hello   29190  hyb    0u   CHR 136,20      0t0     23 /dev/pts/20
hello   29190  hyb    1u   CHR 136,20      0t0     23 /dev/pts/20
hello   29190  hyb    2u   CHR 136,20      0t0     23 /dev/pts/20

當然這裡還有一種方式,就是利用proc檔案系統,首先找到hello行程的行程id:

$ ps -ef|grep hello
hyb      29190 27929  0 21:14 pts/20   00:00:00 ./hello 2
hyb      29296 28848  0 21:18 pts/22   00:00:00 grep --color=auto hello

可以看到行程id為29190,查看該行程檔案描述記錄目錄:

$ ls -l /proc/29190/fd
lrwx------ 1 hyb hyb 64 3月   2 21:14 0 -> /dev/pts/20
lrwx------ 1 hyb hyb 64 3月   2 21:14 1 -> /dev/pts/20
lrwx------ 1 hyb hyb 64 3月   2 21:14 2 -> /dev/pts/20

這種方式能夠過濾很多信息,因為它只列出了該行程實際打開的,這裡它只打開了0,1,2,即標準輸入,標準輸出和標準錯誤。

查看某個端口被占用情況

在使用資料庫或者啟用web服務的時候,總能遇到端口占用問題,那麼怎麼查看某個端口是否被占用呢?

$ lsof -i :6379
COMMAND     PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
redis-ser 29389  hyb    6u  IPv6 534612      0t0  TCP *:6379 (LISTEN)
redis-ser 29389  hyb    7u  IPv4 534613      0t0  TCP *:6379 (LISTEN)

這裡可以看到redis-ser行程占用了6379端口。

查看所有的TCP/UDP連接

$ lsof -i tcp
ava       2534  hyb    6u  IPv6  31275      0t0  TCP localhost:9614 (LISTEN)
java       2534  hyb   22u  IPv6  96922      0t0  TCP localhost:9614->localhost:39004 (ESTABLISHED)
java       2534  hyb   23u  IPv6 249588      0t0  TCP localhost:9614->localhost:45460 (ESTABLISHED)

當然我們也可以使用netstat命令。

$ netstat -anp|grep 6379

這裡的-i引數可以跟多種條件:

  • -i 4     #ipv4地址

  • -i 6     #ipv6地址

  • -i tcp   #tcp連接

  • -i :3306  #端口

  • -i @ip   #ip地址

因此需要查看與某個ip地址建立的連接時,可以使用下麵的方式:

$ lsof [email protected]0.0.1

查看某個用戶打開了哪些檔案

linux是一個多用戶操作系統,怎麼知道其他普通用戶打開了哪些檔案呢?可使用-u引數

$ lsof -u hyb
(內容太多,省略)

列出除了某個行程或某個用戶打開的檔案

實際上和前面使用方法類似,只不過,在行程id前面或者用戶名前面加^,例如:

lsof -p ^1     #列出除行程id為1的行程以外打開的檔案
lsof -u ^root  #列出除root用戶以外打開的檔案

總結

以上介紹基於一個條件,實際上多個條件可以組合,例如列出行程id為1的行程打開的tcp套接字檔案:

lsof -p 1 -i tcp

lsof引數很多,具體的可以使用man命令查看,但是對於我們來說,知道這些實用的基本足夠。

赞(0)

分享創造快樂