root@root:~# lsof
COMMAND PID TID USER FD TYPE DEVICE SIZE/OFF NODE NAME
systemd root cwd DIR , /
systemd root rtd DIR , /
systemd root txt REG , /lib/systemd/systemd
systemd root mem REG , /lib/libattr.so.1.1.
systemd root 0u CHR , 0t0 /dev/null
systemd root 1u CHR , 0t0 /dev/null
systemd root 2u CHR , 0t0 /dev/null
systemd root 3w CHR , 0t0 /dev/kmsg
systemd root 4u a_inode , [eventpoll]
systemd root 6r DIR , /sys/fs/cgroup/systemd
systemd root 10r REG , /proc//mountinfo
systemd root 11r a_inode , inotify
systemd root 12u unix 0xffff8005fcae8480 0t0 /run/systemd/notify type=DGRAM
systemd root 24u a_inode , [timerfd]
systemd root 27u FIFO , 0t0 /run/systemd/initctl/fifo
systemd root 28r a_inode , inotify
systemd root 29u netlink 0t0 AUDIT
systemd root 34u IPv6 0t0 TCP *:ssh (LISTEN)
FD 列中的文件描述符:
cwd 值表示应用程序的当前工作目录,这是该应用程序启动的目录,除非它本身对这个目录进行更改。
txt 类型的文件是程序代码,如应用程序二进制文件本身或共享库,如上列表中显示的 /sbin/init 程序。
数值 表示应用程序的文件描述符,这是打开该文件时返回的一个整数。u 表示该文件被打开并处于读取/写入模式,而不是只读或只写模式。同时还有大写的 W 表示该应用程序具有对整个文件的写锁。
该文件描述符用于确保每次只能打开一个应用程序实例。初始打开每个应用程序时,都具有三个文件描述符,从 0 到 2,分别表示标准输入、输出和错误流。所以大多数应用程序所打开的文件
的 FD 都是从 3 开始。
Type:
列则比较直观,文件和目录分别称为 REG 和 DIR。而CHR 和 BLK,分别表示字符和块设备;或者 UNIX、FIFO 和 IPv4,分别表示 UNIX域套接字、先进先出(FIFO)队列和网际协议(IP)套接字。
常用参数列表
lsof 列出系统打开的文件
lsof filename 打开指定文件的所有进程
lsof -p PID 列出指定的进程号打开的文件,和-c类似。
lsof -a 表示两个参数都必须满足时才显示结果
lsof -c string 显示COMMAND列中包含指定字符的进程所有打开的文件 这个可以用于查看Navi的
lsof -u username 显示所属user进程打开的文件,eg: lsof -u root
lsof -g gid 显示归属gid的进程情况
lsof +d /DIR/ 显示目录下被进程打开的文件,实测这个有时不好用,不要进入到测试目录,以免干扰。 这个也可以用于查证
lsof +D /DIR/ 同上,但是会搜索目录下的所有目录,时间相对较长。这个好用
lsof -d FD 显示指定文件描述符的进程,eg:# lsof -d 30 会显示出包含fd=30的所有进程。
lsof -n 不将IP转换为hostname,缺省是不加上-n参数
lsof -i 用以显示符合条件的进程情况,???
lsof -i[4/6] [protocol][@hostname|hostaddr][:service|port]
46 --> IPv4 or IPv6
protocol --> TCP or UDP
hostname --> Internet host name
hostaddr --> IPv4地址
service --> /etc/service中的 service name (可以不只一个)
port --> 端口号 (可以不只一个)