lsof 常見的用法是查找應用程序打開的文件的名稱和數目。可用於查找出某個特定應用程序將日志數據記錄到何處,或者正在跟蹤某個問題。例如,linux限制了進程能夠打開文件的數目。通常這個數值很大,所以不會產生問題,並且在需要時,應用程序可以請求更大的值(直到某個上限)。如果你懷疑應用程序耗盡了文件描述符,那麼可以使用 lsof 統計打開的文件數目,以進行驗證。
lsof語法格式是: lsof [options] filename
常用的參數列表
lsof filename 顯示打開指定文件的所有進程
lsof -a 表示兩個參數都必須滿足時才顯示結果
lsof -c string 顯示COMMAND列中包含指定字符的進程所有打開的文件
lsof -u username 顯示所屬user進程打開的文件
lsof -g gid 顯示歸屬gid的進程情況
lsof +d /DIR/ 顯示目錄下被進程打開的文件
lsof +D /DIR/ 同上,但是會搜索目錄下的所有目錄,時間相對較長
lsof -d FD 顯示指定文件描述符的進程
lsof -n 不將IP轉換為hostname,缺省是不加上-n參數
lsof -i 用以顯示符合條件的進程情況
lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
46 --> IPv4 or IPv6,例如 -i 4 或者 -i 6
protocol --> TCP or UDP
hostname --> Internet host name
hostaddr --> IPv4地址
service --> /etc/service中的 service name (可以不只一個)
port --> 端口號 (可以不只一個),例如lsof -i 4 1.1.1.1@110-135
2、列出在某個端口運行的進程
# lsof -i :port_number 例如root@kali:~# lsof -i:9392,root@kali:~# lsof -i:100-10000,root@kali:~# lsof -i:9392,9293,33218
3、根據進程名稱列出打開的文件
# lsof -c process_name 例如root@kali:~# lsof -c ssh ,root@kali:~# lsof -a -c ssh -u root可以組合查詢root用戶的SSH
4、列出所有網絡連接
#lsof -i 例如root@kali:~# lsof -i ,root@kali:~# lsof -i TCP,root@kali:~# lsof -i TCP@localhost,
root@kali:~# lsof -i [email protected]:ssh,http , root@kali:~# lsof -i [email protected]:100-1000000
5、根據進程id來列出打開的文件
# lsof -p PID 例如root@kali:~# lsof -p 9371,root@kali:~# lsof -i -a -p 9371 ,root@kali:~# lsof `which httpd` (哪個進程在使用apache的可執行文件)
6、 列出某個目錄中被打開的文件
# lsof +D path_of_the_directory 例如 root@kali:~# lsof +D /var/log/
7、殺掉某個用戶的所有活動進程
# killall -9 `lsof -t -u username` 例如root@kali:~#kill -9 `lsof -t -u root`(謹慎:如果是單一用戶,這命令一敲就黑屏了)
8、恢復刪除的文件
第一步:lsof查看---當前是否有進程打開/var/logmessages文件,如下: # lsof |grep /var/log/messages
syslogd 1283 root 2w REG 3,3 5381017 1773647 /var/log/messages (deleted)
第二步:獲取信息--從上面的信息可以看到 PID 1283(syslogd)打開文件的文件描述符為 2,/var/log/messages已被標記刪除了。
第三步:因此我利用 I/O 重定向查看 /proc/1283/fd/2 (fd下的每個以數字命名的文件表示進程對應的文件描述符)的同時恢復該文件。
cat /proc/1283/fd/2 > /var/log/messages
歡迎大家分享更好的思路,熱切期待^^_^^ !!!