lsof

lsof  filename 显示打开指定文件的所有进程 
lsof -a 表示两个参数都必须满足时才显示结果 
lsof -c string   显示COMMAND列中包含指定字符的进程所有打开的文件 
lsof -u username  显示所属user进程打开的文件 
lsof -g gid 显示归属gid的进程情况 
lsof +d /DIR/ 显示目录下被进程打开的文件 
lsof +D /DIR/ 同上，但是会搜索目录下的所有目录，时间相对较长 
lsof -d FD 显示指定文件描述符的进程 
lsof -n 不将IP转换为hostname，缺省是不加上-n参数 
lsof -i 用以显示符合条件的进程情况 
lsof -i[46] [protocol][@hostname|hostaddr][:service|port] 

lsof -i :22 

恢复删除的文件 

eg: 恢复 messages 

 

查看 /proc/1824/fd/2

cat /proc/1824/fd/2 > /var/log/messages 恢复文件

lsof |grep delete  可以查看 文件已删除，程序未释放具体信息。（现象硬盘空间爆满 du -sh硬盘还有大量空间）