lsof命令
[root@localhost ~]# rpm -qa|grep lsof
lsof-4.82-4.el6.x86_64
在终端下输入lsof即可显示系统打开的文件,因为 lsof 需要访问核心内存和各种文件,所以必须以 root 用户的身份运行它才能够充分地发挥其功能。每行显示一个打开的文件,若不指定条件默认将显示所有进程打开的所有文件。
lsof - list open files
Lsof revision 4.82 lists on its standard output file information about files opened by processes for the following UNIX dialects:
AIX 5.3
Apple Darwin 9 (Mac OS X 10.5)
FreeBSD 4.9 for x86-based systems
FreeBSD 7.[012] and 8.0 for AMD64-based systems
Linux 2.1.72 and above for x86-based systems
Solaris 9 and 10
An open file may be a regular file, a directory, a block special file, a character special file, an executing text reference, a library, a stream or a network file (Internet socket, NFS file or UNIX domain socket.) A specific file or all the files in a file system may be selected by path.
fuser - identify processes using files or sockets
fuser displays the PIDs of processes using the specified files or file systems. In the default display mode, each file name is followed by a letter denoting the type of access:
fuser outputs only the PIDs to stdout, everything else is sent to stderr.
lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息,因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。
解释
[root@localhost ~]# man lsof 看了两个多小时,包括所有的选项,输出格式的每个字段的解释,样例等
If any list request option is specified, other list requests must be specifically requested
就是说选项必须被明确地指定。-U列出socket,不会列出nfs files,除非指定-N。
Normally list options that are specifically stated are ORed
正常列表默认是或的关系,比如 -i -ufoo,列出所有的网络文件或者属于进程所有者为foo的列表。
lsof -a 表示两个参数都必须满足时才显示结果 明确用-a指定为与关系
lsof输出各列信息的意义如下:man lsof对此有详尽的解释
COMMAND: 进程的名称
PID: 进程标识符
USER: 进程所有者
FD: 文件描述符,应用程序通过文件描述符识别该文件。如cwd、txt等
TYPE: 文件类型,如DIR、REG等
DEVICE: 指定磁盘的名称
SIZE: 文件的大小
NODE: 索引节点(文件在磁盘上的标识)
NAME: 打开文件的确切名称
FD 列中的文件描述符
1.cwd 值表示应用程序的当前工作目录,这是该应用程序启动的目录,除非它本身对这个目录进行更改
2.txt 类型的文件是程序代码,如应用程序二进制文件本身或共享库,如上列表中显示的 /sbin/init 程序。
3.mem
4.rtd
5.其次数值表示应用程序的文件描述符,这是打开该文件时返回的一个整数。如上的最后一行文件/dev/initctl,其文件描述符为 10。
u 表示该文件被打开并处于读取/写入模式,而不是只读(r)或只写(w)模式。
W 表示该应用程序具有对整个文件的写锁。该文件描述符用于确保每次只能打开一个应用程序实例。
[root@CentOS5 ~]# lsof|grep W(写锁) lsof|grep unix (其实就是套接字) lsof|grep FIFO(其实就是管道) lsof|grep Ipv4(其实就是tcp/ip)
初始打开每个应用程序时,都具有三个文件描述符,从 0 到 2,分别表示标准输入、输出和错误流。所以大多数应用程序所打开的文件的 FD 都是从 3 开始。
sshd 26592 root 5r FIFO 0,6 1882595 pipe
sshd 26592 root 6w FIFO 0,6 1882595 pipe
unix 0xf1e75c80
FIFO 0,6
FIFO 8,3
IPv4 10338
Type 列则比较直观。文件和目录分别称为 REG 和 DIR。而CHR 和 BLK,分别表示字符和块设备;
或者 UNIX、FIFO 和 IPv4,分别表示 UNIX 域套接字、先进先出 (FIFO) 队列和网际协议 (IP) 套接字。
命令列表
lsof `which httpd` //那个进程在使用apache的可执行文件
lsof /etc/passwd //那个进程在占用/etc/passwd
lsof /dev/hda6 //那个进程在占用hda6
lsof /dev/cdrom //那个进程在占用光驱
lsof -c sendmail //查看sendmail进程的文件使用情况
lsof -c courier -u ^zahn //显示出那些文件被以courier打头的进程打开,但是并不属于用户zahn
lsof -p 30297 //显示那些文件被pid为30297的进程打开
lsof -u1000 //查看uid是100的用户的进程的文件使用情况
lsof -utony //查看用户tony的进程的文件使用情况
lsof -u^tony //查看不是用户tony的进程的文件使用情况(^是取反的意思)
lsof -i //显示所有打开的端口
lsof -i:80 //显示所有打开80端口的进程
lsof -i -U //显示所有打开的端口和UNIX domain文件
lsof -i UDP@[url]www.akadia.com:123 //显示那些进程打开了到www.akadia.com的UDP的123(ntp)端口的链接
lsof -i tcp@ohaha.ks.edu.tw:ftp -r //不断查看目前ftp连接的情况(-r,lsof会永远不断的执行,直到收到中断信号,+r,lsof会一直执行,直到没有档案被显示,缺省是15s刷新)
lsof -i tcp@ohaha.ks.edu.tw:ftp -n //lsof -n 不将IP转换为hostname,缺省是不加上-n参数
lsof -a 表示两个参数都必须满足时才显示结果
lsof -g gid 显示归属gid的进程情况
lsof +d /DIR/ 显示目录下被进程打开的文件
lsof +D /DIR/ 同上,但是会搜索目录下的所有目录,时间相对较长
lsof -d FD 显示指定文件描述符的进程
lsof -n 不将IP转换为hostname,缺省是不加上-n参数
lsof -i 用以显示符合条件的进程情况
lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
46 --> IPv4 or IPv6
protocol --> TCP or UDP
hostname --> Internet host name
hostaddr --> IPv4地址
service --> /etc/service中的 service name (可以不只一个)
port --> 端口号 (可以不只一个)
lsof -p pid //查看进程pid打开的文件描述符,(一般情况下,一个进程可以打开的文件描述符的个数不超过1024)
防止文件描述符泄露,内存泄露不仅仅是堆内存泄露,还有句柄泄漏。
df -l 和du -sh 统计到的文件大小不同,可能是因为文件目录项被删除了,但是文件还被打开着,inode还被占用着。
查看所属root用户进程所打开的文件类型为txt的文件:
# lsof -u root -a -d txt
###下面是在本地查看相关连接
[root@8A_4 ~]# lsof -i@192.168.1.78
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 5939 root 3r IPv4 17600 0t0 TCP 172.16.1.16:ssh->192.168.1.78:mysql-cluster (ESTABLISHED)
sshd 5941 lzb 3u IPv4 17600 0t0 TCP 172.16.1.16:ssh->192.168.1.78:mysql-cluster (ESTABLISHED)
sshd 6161 root 3r IPv4 22946 0t0 TCP 172.16.1.16:ssh->192.168.1.78:commlinx-avl (ESTABLISHED)
sshd 6163 lzb 3u IPv4 22946 0t0 TCP 172.16.1.16:ssh->192.168.1.78:commlinx-avl (ESTABLISHED)
[root@8A_4 ~]# lsof -i@192.168.1.78 -a -ulzb
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 5941 lzb 3u IPv4 17600 0t0 TCP 172.16.1.16:ssh->192.168.1.78:mysql-cluster (ESTABLISHED)
sshd 6163 lzb 3u IPv4 22946 0t0 TCP 172.16.1.16:ssh->192.168.1.78:commlinx-avl (ESTABLISHED)
[root@8A_4 ~]# lsof -i@192.168.1.78 -i@192.168.1.82 -a -uroot
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 5939 root 3r IPv4 17600 0t0 TCP 172.16.1.16:ssh->192.168.1.78:mysql-cluster (ESTABLISHED)
sshd 6161 root 3r IPv4 22946 0t0 TCP 172.16.1.16:ssh->192.168.1.78:commlinx-avl (ESTABLISHED)
sshd 7367 root 3r IPv4 27271 0t0 TCP 172.16.1.16:ssh->192.168.1.82:bridgecontrol (ESTABLISHED)
###卸载文件系统
在卸载文件系统时,如果该文件系统中有任何打开的文件,操作通常将会失败。那么通过lsof可以找出那些进程在使用当前要卸载的文件系统,如下:
[root@84-monitor monitor]# lsof /home/cc
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
bash 14848 root cwd DIR 0,21 4096 800765 /home/cc
[root@84-monitor monitor]# umount /home/cc
umount.nfs: /home/cc: device is busy
umount.nfs: /home/cc: device is busy
最后知道是有进程停留在此目录,通过FD列的cwd可知,只要退出此层目录,便可以卸载此文件系统了。
# lsof /GTES11/
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
bash 4208 root cwd DIR 3,1 4096 2 /GTES11/
vim 4230 root cwd DIR 3,1 4096 2 /GTES11/
在这个示例中,用户root正在其/GTES11目录中进行一些操作。一个 bash是实例正在运行,并且它当前的目录为/GTES11,另一个则显示的是vim正在编辑/GTES11下的文件。要成功地卸载/GTES11,应该在通知用户以确保情况正常之后,中止这些进程。 这个示例说明了应用程序的当前工作目录非常重要,因为它仍保持着文件资源,并且可以防止文件系统被卸载。这就是为什么大部分守护进程(后台进程)将它们的目录更改为根目录、或服务特定的目录(如 sendmail 示例中的 /var/spool/mqueue)的原因,以避免该守护进程阻止卸载不相关的文件系统。
###显示打开指定文件的所有进程
[root@250-shiyan ~]# lsof /lib64/libc-2.12.so
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
init 1 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
udevd 379 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
auditd 934 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
rsyslogd 950 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
rpcbind 973 rpc mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
rpc.statd 991 rpcuser mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
master 1120 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
qmgr 1129 postfix mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
crond 1130 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
mingetty 1143 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
mingetty 1145 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
mingetty 1147 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
mingetty 1149 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
mingetty 1151 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
mingetty 1153 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
udevd 1159 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
udevd 1160 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
sshd 12432 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
rpc.mount 14820 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
rpc.idmap 14858 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
pickup 19686 postfix mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
sshd 19757 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
bash 19759 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
sshd 19783 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
bash 19785 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
lsof 19811 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
lsof 19812 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
一般来说,以pid或以命令名显示的打开文件数应该是一样的
[root@250-shiyan ~]# ps -ef|grep crond
root 1130 1 0 Jan13 ? 00:00:16 crond
[root@250-shiyan ~]# lsof -c crond|wc -l
20
[root@250-shiyan ~]# lsof -p 1130|wc -l
20
###以命令关键字查看打开文件数
[root@250-shiyan ~]# lsof -c crond
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
crond 1130 root cwd DIR 253,0 4096 2 /
crond 1130 root rtd DIR 253,0 4096 2 /
crond 1130 root txt REG 253,0 64096 396039 /usr/sbin/crond
crond 1130 root mem REG 253,0 65928 260640 /lib64/libnss_files-2.12.so
crond 1130 root mem REG 253,0 99158576 393113 /usr/lib/locale/locale-archive
crond 1130 root mem REG 253,0 469528 260616 /lib64/libfreebl3.so
crond 1130 root mem REG 253,0 40400 260628 /lib64/libcrypt-2.12.so
crond 1130 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
crond 1130 root mem REG 253,0 113096 260680 /lib64/libaudit.so.1.0.0
crond 1130 root mem REG 253,0 19536 260630 /lib64/libdl-2.12.so
crond 1130 root mem REG 253,0 55848 260793 /lib64/libpam.so.0.82.2
crond 1130 root mem REG 253,0 122040 260694 /lib64/libselinux.so.1
crond 1130 root mem REG 253,0 154520 260617 /lib64/ld-2.12.so
crond 1130 root 0u CHR 1,3 0t0 3782 /dev/null
crond 1130 root 1u CHR 1,3 0t0 3782 /dev/null
crond 1130 root 2u CHR 1,3 0t0 3782 /dev/null
crond 1130 root 3u REG 253,0 5 523959 /var/run/crond.pid
crond 1130 root 4u unix 0xffff88001dbec3c0 0t0 8775 socket
crond 1130 root 5r DIR 0,10 0 1 inotify
###以pid或者文件描述符查看打开文件数
[root@250-shiyan ~]# lsof -p 1130
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
crond 1130 root cwd DIR 253,0 4096 2 /
crond 1130 root rtd DIR 253,0 4096 2 /
crond 1130 root txt REG 253,0 64096 396039 /usr/sbin/crond
crond 1130 root mem REG 253,0 65928 260640 /lib64/libnss_files-2.12.so
crond 1130 root mem REG 253,0 99158576 393113 /usr/lib/locale/locale-archive
crond 1130 root mem REG 253,0 469528 260616 /lib64/libfreebl3.so
crond 1130 root mem REG 253,0 40400 260628 /lib64/libcrypt-2.12.so
crond 1130 root mem REG 253,0 1921216 260624 /lib64/libc-2.12.so
crond 1130 root mem REG 253,0 113096 260680 /lib64/libaudit.so.1.0.0
crond 1130 root mem REG 253,0 19536 260630 /lib64/libdl-2.12.so
crond 1130 root mem REG 253,0 55848 260793 /lib64/libpam.so.0.82.2
crond 1130 root mem REG 253,0 122040 260694 /lib64/libselinux.so.1
crond 1130 root mem REG 253,0 154520 260617 /lib64/ld-2.12.so
crond 1130 root 0u CHR 1,3 0t0 3782 /dev/null
crond 1130 root 1u CHR 1,3 0t0 3782 /dev/null
crond 1130 root 2u CHR 1,3 0t0 3782 /dev/null
crond 1130 root 3u REG 253,0 5 523959 /var/run/crond.pid
crond 1130 root 4u unix 0xffff88001dbec3c0 0t0 8775 socket
crond 1130 root 5r DIR 0,10 0 1 inotify
[root@fileserv samba]# lsof -d 4
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
udevd 310 root 4u sock 0,5 980 can't identify protocol
auditd 1039 root 4r 0000 0,11 0 2932 eventpoll
audispd 1041 root 4w FIFO 0,6 2920 pipe
syslogd 1061 root 4w REG 202,3 164744 1237905 /var/log/maillog
portmap 1101 rpc 4u IPv4 3106 TCP *:sunrpc (LISTEN)
rpc.statd 1132 root 4w FIFO 0,6 3137 pipe
dbus-daem 1167 dbus 4u CHR 1,3 964 /dev/null
pcscd 1205 root 4u unix 0xdd23c900 3350 socket
hidd 1252 root 4u sock 0,5 3727 can't identify protocol
automount 1271 root 4r FIFO 0,6 3790 pipe
cupsd 1328 root 4u IPv4 3910 TCP localhost.localdomain:ipp (LISTEN)
gpm 1347 root 4u CHR 13,63 1413 /dev/input/mice
###查看某个目录下被打开的文件数并且递归子目录
[root@221-comecs ~]# lsof +D /var/
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
vmtoolsd 1191 root 4w REG 253,0 5 521803 /var/run/vmtoolsd.pid
auditd 1279 root 5w REG 253,0 4969946 524922 /var/log/audit/audit.log
rsyslogd 1295 root 1w REG 253,0 806 527133 /var/log/messages
rsyslogd 1295 root 2w REG 253,0 41104 527080 /var/log/cron
rsyslogd 1295 root 4w REG 253,0 3850519 527135 /var/log/secure
rsyslogd 1295 root 5w REG 253,0 1214 527120 /var/log/maillog
rpcbind 1318 rpc 3r REG 253,0 0 521841 /var/run/rpcbind.lock
rpcbind 1318 rpc 5u unix 0xffff8800379713c0 0t0 9050 /var/run/rpcbind.sock
rpc.statd 1336 rpcuser cwd DIR 253,0 4096 521898 /var/lib/nfs/statd
rpc.statd 1336 rpcuser 6w REG 253,0 5 521845 /var/run/rpc.statd.pid
master 1467 root cwd DIR 253,0 4096 521524 /var/spool/postfix
master 1467 root 9uW REG 253,0 33 521942 /var/spool/postfix/pid/master.pid
master 1467 root 10uW REG 253,0 33 521814 /var/lib/postfix/master.lock
master 1467 root 17u FIFO 253,0 0t0 521816 /var/spool/postfix/public/pickup
master 1467 root 23u FIFO 253,0 0t0 521818 /var/spool/postfix/public/qmgr
qmgr 1475 postfix cwd DIR 253,0 4096 521524 /var/spool/postfix
qmgr 1475 postfix 6u FIFO 253,0 0t0 521818 /var/spool/postfix/public/qmgr
asterisk 2451 root 3u unix 0xffff88003dc6c6c0 0t0 15574164 /var/run/asterisk.ctl
asterisk 2451 root 4w REG 253,0 16550 521941 /var/log/asterisk/messages
asterisk 2451 root 5w REG 253,0 0 521943 /var/log/asterisk/event_log
asterisk 2451 root 6w REG 253,0 2154 524874 /var/log/asterisk/queue_log
asterisk 2451 root 7u REG 253,0 0 524865 /var/lib/asterisk/astdb
crond 25396 root 3u REG 253,0 6 524871 /var/run/crond.pid
pickup 26803 postfix cwd DIR 253,0 4096 521524 /var/spool/postfix
pickup 26803 postfix 6u FIFO 253,0 0t0 521816 /var/spool/postfix/public/pickup
###查看某个目录下被打开的文件数,是+d选项
[root@221-comecs ~]# lsof +d /var/log
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
rsyslogd 1295 root 1w REG 253,0 806 527133 /var/log/messages
rsyslogd 1295 root 2w REG 253,0 41104 527080 /var/log/cron
rsyslogd 1295 root 4w REG 253,0 3850519 527135 /var/log/secure
rsyslogd 1295 root 5w REG 253,0 1214 527120 /var/log/maillog
[root@221-comecs ~]# lsof +d /var/log/asterisk/
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
asterisk 2451 root 4w REG 253,0 16550 521941 /var/log/asterisk/messages
asterisk 2451 root 5w REG 253,0 0 521943 /var/log/asterisk/event_log
asterisk 2451 root 6w REG 253,0 2154 524874 /var/log/asterisk/queue_log
###过程分析
对待每一个守护进程都是这个过程。
一。先查看系统中都有哪些进程在运行
[root@84-monitor logs]# pstree
init─┬─auditd───{auditd}
├─crond───4*[crond─┬─sendmail───postdrop]
│ └─sh───sh───sh───sh───mail───mail]
├─httpd───8*[httpd]
├─java───23*[{java}]
├─master─┬─cleanup
│ ├─local
│ ├─pickup
│ └─qmgr
├─6*[mingetty]
├─mysqld_safe───mysqld───9*[{mysqld}]
├─rpc.statd
├─rpcbind
├─rsyslogd───3*[{rsyslogd}]
├─sshd─┬─sshd───bash───pstree
│ └─3*[sshd───bash───bash───ssh]
└─udevd───2*[udevd]
二。其次列出以rsys开头的进程打开的所有文件
[root@84-monitor 972]# lsof -c rsys
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
rsyslogd 972 root cwd DIR 253,0 4096 2 /
rsyslogd 972 root rtd DIR 253,0 4096 2 /
rsyslogd 972 root txt REG 253,0 396064 521732 /sbin/rsyslogd
rsyslogd 972 root mem REG 253,0 27232 521711 /lib64/rsyslog/imklog.so
rsyslogd 972 root mem REG 253,0 340568 521717 /lib64/rsyslog/imuxsock.so
rsyslogd 972 root mem REG 253,0 110960 521867 /lib64/libresolv-2.12.so
rsyslogd 972 root mem REG 253,0 27424 521245 /lib64/libnss_dns-2.12.so
rsyslogd 972 root mem REG 253,0 65928 521865 /lib64/libnss_files-2.12.so
rsyslogd 972 root mem REG 253,0 26984 521718 /lib64/rsyslog/lmnet.so
rsyslogd 972 root mem REG 253,0 1921176 521231 /lib64/libc-2.12.so
rsyslogd 972 root mem REG 253,0 90880 521844 /lib64/libgcc_s-4.4.7-20120601.so.1
rsyslogd 972 root mem REG 253,0 43880 521868 /lib64/librt-2.12.so
rsyslogd 972 root mem REG 253,0 19536 521861 /lib64/libdl-2.12.so
rsyslogd 972 root mem REG 253,0 142640 521255 /lib64/libpthread-2.12.so
rsyslogd 972 root mem REG 253,0 88600 521285 /lib64/libz.so.1.2.3
rsyslogd 972 root mem REG 253,0 154624 521489 /lib64/ld-2.12.so
rsyslogd 972 root 0u unix 0xffff88001fbd06c0 0t0 10252 /dev/log
rsyslogd 972 root 1w REG 253,0 292 786284 /var/log/messages
rsyslogd 972 root 2w REG 253,0 1191255 785232 /var/log/cron
rsyslogd 972 root 3r REG 0,3 0 4026532040 /proc/kmsg
rsyslogd 972 root 4w REG 253,0 564219 785245 /var/log/maillog
rsyslogd 972 root 5w REG 253,0 1004 786285 /var/log/secure
三。随后进入到972的fd目录,列出文件列表,打开了5个文件
[root@84-monitor 972]# cd /proc/972/fd
[root@84-monitor fd]# ll
total 0
lrwx------. 1 root root 64 Mar 18 09:39 0 -> socket:[10252]
l-wx------. 1 root root 64 Mar 18 09:39 1 -> /var/log/messages
l-wx------. 1 root root 64 Mar 18 09:39 2 -> /var/log/cron
lr-x------. 1 root root 64 Mar 18 09:39 3 -> /proc/kmsg
l-wx------. 1 root root 64 Mar 18 09:39 4 -> /var/log/maillog
l-wx------. 1 root root 64 Mar 18 09:39 5 -> /var/log/secure
四。查漏补缺
FD列
txt program text (code and data);
rtd root directory;
cwd current working directory;
cwd,rtd这两个经常是一样的,因为如果没有具体的目录的话,默认全放到根下。
mem memory-mapped file;
u for read and write access;
TYPE列
unix for a UNIX domain socket;
REG for a regular file;
DIR for a directory;
一。
[root@84-monitor fd]# lsof -c rpcbind
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
rpcbind 32580 rpc cwd DIR 253,0 4096 2 /
rpcbind 32580 rpc rtd DIR 253,0 4096 2 /
rpcbind 32580 rpc txt REG 253,0 54408 521226 /sbin/rpcbind
rpcbind 32580 rpc mem REG 253,0 65928 521865 /lib64/libnss_files-2.12.so
rpcbind 32580 rpc mem REG 253,