每天掌握一个Linux命令 - lsof
Linux命令工具lsof使用指南
- Linux命令工具lsof使用指南
- 一、工具概述
- 二、安装方式
- 1. 系统默认安装
- 2. 手动安装
- 三、核心功能
- 四、基础用法
- 1. 列出所有打开的文件
- 2. 按进程ID(PID)查看文件
- 3. 按文件名/路径筛选
- 4. 按用户筛选
- 5. 查看网络套接字
- 五、进阶操作
- 1. 查找已删除但仍被占用的文件(僵尸文件)
- 2. 查看进程打开的文件描述符数量
- 3. 递归查看目录下的文件
- 4. 组合筛选条件
- 5. 输出指定列信息
- 六、实战案例
- 案例1:排查端口占用
- 案例2:修复僵尸文件
- 案例3:追踪用户操作
- 七、注意事项
Linux命令工具lsof使用指南
一、工具概述
lsof(List Open Files) 是Linux系统中用于查看当前系统打开文件的工具。在Linux中,一切皆文件(包括常规文件、目录、套接字、管道、设备等),lsof通过访问内核内存和文件系统来获取当前进程打开的文件信息,常用于排查文件被占用、进程异常、网络连接等问题。
二、安装方式
1. 系统默认安装
多数Linux发行版(如CentOS、Ubuntu、Debian)默认已安装lsof。可通过以下命令验证:
lsof --version
2. 手动安装
- Ubuntu/Debian系统:
sudo apt update
sudo apt install lsof
- CentOS/RHEL系统:
sudo yum install lsof
- 源码编译安装(适用于无包管理工具的系统):
wget https://github.com/lsof-org/lsof/archive/master.zip
unzip master.zip
cd lsof-master
./configure
make && sudo make install
三、核心功能
| 功能分类 | 具体功能描述 |
|---|---|
| 文件查看 | 列出所有进程打开的文件、目录、设备节点等信息 |
| 进程关联 | 根据进程ID(PID)或进程名查看其打开的文件,定位进程占用的资源 |
| 网络排查 | 查看网络套接字(Socket)状态,分析端口占用、网络连接异常等问题 |
| 用户管理 | 按用户筛选打开的文件,追踪特定用户的操作行为 |
| 系统诊断 | 检测僵尸文件(已删除但仍被进程占用的文件)、文件句柄泄漏等系统问题 |
四、基础用法
1. 列出所有打开的文件
lsof
- 输出说明:默认显示系统中所有进程打开的文件,包含以下关键列:
COMMAND:进程名称PID:进程IDUSER:进程所属用户FD:文件描述符(cwd-当前目录,txt-可执行文件,mem-内存映射文件,del-已删除但仍被占用的文件)TYPE:文件类型(如REG-常规文件,DIR-目录,SOCK-套接字,IPv4-IPv4网络连接)DEVICE:设备号SIZE/OFF:文件大小或偏移量NODE:inode节点号NAME:文件路径或网络地址
2. 按进程ID(PID)查看文件
lsof -p <PID>
# 示例:查看PID为1234的进程打开的文件
lsof -p 1234
3. 按文件名/路径筛选
lsof /path/to/file
# 示例:查看/tmp/test.log被哪些进程打开
lsof /tmp/test.log
4. 按用户筛选
lsof -u <username>
# 示例:查看用户admin打开的所有文件
lsof -u admin
5. 查看网络套接字
lsof -i [协议类型]
# 示例:
lsof -i tcp # 查看所有TCP连接
lsof -i :8080 # 查看占用8080端口的进程
五、进阶操作
1. 查找已删除但仍被占用的文件(僵尸文件)
lsof +L1
# 输出中带有`(deleted)`标记的文件即为已删除但仍被进程占用的文件
2. 查看进程打开的文件描述符数量
lsof -p <PID> | wc -l
# 统计PID为1234的进程打开的文件数
lsof -p 1234 | wc -l
3. 递归查看目录下的文件
lsof +D /path/to/directory
# 示例:递归查看/usr/local目录下被打开的文件
lsof +D /usr/local
4. 组合筛选条件
# 查看用户admin启动的进程中占用80端口的TCP连接
lsof -u admin -i tcp:80
5. 输出指定列信息
lsof -p <PID> -o cwd,txt,user
# 仅显示进程的当前目录、可执行文件路径和用户
六、实战案例
案例1:排查端口占用
问题:启动服务时提示“端口8080被占用”。
解决步骤:
- 查看占用8080端口的进程:
lsof -i :8080
- 输出类似:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
java 12345 root 12u IPv4 12345 0t0 TCP *:8080 (LISTEN)
- 根据PID终止进程:
sudo kill -9 12345
案例2:修复僵尸文件
问题:删除日志文件后磁盘空间未释放。
解决步骤:
- 查找已删除但仍被占用的文件:
lsof +L1 | grep "(deleted)"
- 输出类似:
httpd 6789 root 3r REG 8,1 1048576 12345 /var/log/httpd/access.log (deleted)
- 重启占用进程(如httpd服务)以释放文件:
sudo systemctl restart httpd
案例3:追踪用户操作
需求:查看用户test在系统中打开的所有文件。
命令:
lsof -u test
- 可结合时间筛选(如
-t参数)进一步缩小范围。
七、注意事项
- 权限要求:部分操作(如查看其他用户进程)需以
root身份执行,否则可能无法获取完整信息。 - 性能影响:直接执行
lsof命令会遍历所有进程,在高负载系统中可能导致短暂性能波动,建议配合筛选条件缩小范围。 - 文件描述符(FD):
0(stdin)、1(stdout)、2(stderr)为标准输入输出文件。- 大于
2的FD通常为用户打开的文件或网络连接。
- 符号链接处理:若文件路径为符号链接,需使用
-P参数(默认已启用)避免解析为真实路径。 - 版本兼容性:旧版本lsof可能不支持部分新特性(如IPv6筛选),建议保持工具版本更新。
通过合理使用lsof,可高效定位系统中文件、进程、网络连接的关联问题,是Linux系统管理和故障排查的核心工具之一。