lsof-查看进程句柄

 

root@root:~# lsof
COMMAND    PID  TID       USER   FD      TYPE             DEVICE SIZE/OFF     NODE NAME
systemd      1            root  cwd       DIR              179,3     4096        2 /
systemd      1            root  rtd       DIR              179,3     4096        2 /
systemd      1            root  txt       REG              179,3  1117560    11048 /lib/systemd/systemd
systemd      1            root  mem       REG              179,3    18576    11427 /lib/libattr.so.1.1.0
systemd      1            root    0u      CHR                1,3      0t0     1053 /dev/null
systemd      1            root    1u      CHR                1,3      0t0     1053 /dev/null
systemd      1            root    2u      CHR                1,3      0t0     1053 /dev/null
systemd      1            root    3w      CHR               1,11      0t0     1058 /dev/kmsg
systemd      1            root    4u  a_inode               0,10        0       28 [eventpoll]
systemd      1            root    6r      DIR               0,21        0        1 /sys/fs/cgroup/systemd
systemd      1            root   10r      REG                0,4        0     3703 /proc/1/mountinfo
systemd      1            root   11r  a_inode               0,10        0       28 inotify
systemd      1            root   12u     unix 0xffff8005fcae8480      0t0      327 /run/systemd/notify type=DGRAM
systemd      1            root   24u  a_inode               0,10        0       28 [timerfd]
systemd      1            root   27u     FIFO               0,19      0t0      349 /run/systemd/initctl/fifo
systemd      1            root   28r  a_inode               0,10        0       28 inotify
systemd      1            root   29u  netlink                         0t0      359 AUDIT
systemd      1            root   34u     IPv6                497      0t0      TCP *:ssh (LISTEN)

FD 列中的文件描述符：

cwd 值表示应用程序的当前工作目录，这是该应用程序启动的目录，除非它本身对这个目录进行更改。
txt 类型的文件是程序代码，如应用程序二进制文件本身或共享库，如上列表中显示的 /sbin/init 程序。
数值 表示应用程序的文件描述符，这是打开该文件时返回的一个整数。u 表示该文件被打开并处于读取/写入模式，而不是只读或只写模式。同时还有大写的 W 表示该应用程序具有对整个文件的写锁。
       该文件描述符用于确保每次只能打开一个应用程序实例。初始打开每个应用程序时，都具有三个文件描述符，从 0 到 2，分别表示标准输入、输出和错误流。所以大多数应用程序所打开的文件
      的 FD 都是从 3 开始。

Type:
列则比较直观，文件和目录分别称为 REG 和 DIR。而CHR 和 BLK，分别表示字符和块设备；或者 UNIX、FIFO 和 IPv4，分别表示 UNIX域套接字、先进先出(FIFO)队列和网际协议(IP)套接字。

 

常用参数列表

lsof 列出系统打开的文件

lsof filename 打开指定文件的所有进程

lsof -p PID 列出指定的进程号打开的文件，和-c类似。

lsof -a 表示两个参数都必须满足时才显示结果

lsof -c string 显示COMMAND列中包含指定字符的进程所有打开的文件 这个可以用于查看Navi的

lsof -u username 显示所属user进程打开的文件，eg: lsof -u root

lsof -g gid 显示归属gid的进程情况

lsof +d /DIR/ 显示目录下被进程打开的文件，实测这个有时不好用，不要进入到测试目录，以免干扰。 这个也可以用于查证

lsof +D /DIR/ 同上，但是会搜索目录下的所有目录，时间相对较长。这个好用

lsof -d FD 显示指定文件描述符的进程，eg：# lsof -d 30 会显示出包含fd=30的所有进程。

lsof -n 不将IP转换为hostname，缺省是不加上-n参数

lsof -i 用以显示符合条件的进程情况，？？？
　　lsof -i[4/6] [protocol][@hostname|hostaddr][:service|port]
　　46 --> IPv4 or IPv6
　　protocol --> TCP or UDP
　　hostname --> Internet host name
　　hostaddr --> IPv4地址
　　service --> /etc/service中的 service name (可以不只一个)
　　port --> 端口号 (可以不只一个)