lsof-查看进程句柄
root@root:~# lsof COMMAND PID TID USER FD TYPE DEVICE SIZE/OFF NODE NAME systemd 1 root cwd DIR 179,3 4096 2 / systemd 1 root rtd DIR 179,3 4096 2 / systemd 1 root txt REG 179,3 1117560 11048 /lib/systemd/systemd systemd 1 root mem REG 179,3 18576 11427 /lib/libattr.so.1.1.0 systemd 1 root 0u CHR 1,3 0t0 1053 /dev/null systemd 1 root 1u CHR 1,3 0t0 1053 /dev/null systemd 1 root 2u CHR 1,3 0t0 1053 /dev/null systemd 1 root 3w CHR 1,11 0t0 1058 /dev/kmsg systemd 1 root 4u a_inode 0,10 0 28 [eventpoll] systemd 1 root 6r DIR 0,21 0 1 /sys/fs/cgroup/systemd systemd 1 root 10r REG 0,4 0 3703 /proc/1/mountinfo systemd 1 root 11r a_inode 0,10 0 28 inotify systemd 1 root 12u unix 0xffff8005fcae8480 0t0 327 /run/systemd/notify type=DGRAM systemd 1 root 24u a_inode 0,10 0 28 [timerfd] systemd 1 root 27u FIFO 0,19 0t0 349 /run/systemd/initctl/fifo systemd 1 root 28r a_inode 0,10 0 28 inotify systemd 1 root 29u netlink 0t0 359 AUDIT systemd 1 root 34u IPv6 497 0t0 TCP *:ssh (LISTEN)
FD 列中的文件描述符:
cwd 值表示应用程序的当前工作目录,这是该应用程序启动的目录,除非它本身对这个目录进行更改。
txt 类型的文件是程序代码,如应用程序二进制文件本身或共享库,如上列表中显示的 /sbin/init 程序。
数值 表示应用程序的文件描述符,这是打开该文件时返回的一个整数。u 表示该文件被打开并处于读取/写入模式,而不是只读或只写模式。同时还有大写的 W 表示该应用程序具有对整个文件的写锁。
该文件描述符用于确保每次只能打开一个应用程序实例。初始打开每个应用程序时,都具有三个文件描述符,从 0 到 2,分别表示标准输入、输出和错误流。所以大多数应用程序所打开的文件
的 FD 都是从 3 开始。
Type:
列则比较直观,文件和目录分别称为 REG 和 DIR。而CHR 和 BLK,分别表示字符和块设备;或者 UNIX、FIFO 和 IPv4,分别表示 UNIX域套接字、先进先出(FIFO)队列和网际协议(IP)套接字。
常用参数列表
lsof 列出系统打开的文件
lsof filename 打开指定文件的所有进程
lsof -p PID 列出指定的进程号打开的文件,和-c类似。
lsof -a 表示两个参数都必须满足时才显示结果
lsof -c string 显示COMMAND列中包含指定字符的进程所有打开的文件 这个可以用于查看Navi的
lsof -u username 显示所属user进程打开的文件,eg: lsof -u root
lsof -g gid 显示归属gid的进程情况
lsof +d /DIR/ 显示目录下被进程打开的文件,实测这个有时不好用,不要进入到测试目录,以免干扰。 这个也可以用于查证
lsof +D /DIR/ 同上,但是会搜索目录下的所有目录,时间相对较长。这个好用
lsof -d FD 显示指定文件描述符的进程,eg:# lsof -d 30 会显示出包含fd=30的所有进程。
lsof -n 不将IP转换为hostname,缺省是不加上-n参数
lsof -i 用以显示符合条件的进程情况,???
lsof -i[4/6] [protocol][@hostname|hostaddr][:service|port]
46 --> IPv4 or IPv6
protocol --> TCP or UDP
hostname --> Internet host name
hostaddr --> IPv4地址
service --> /etc/service中的 service name (可以不只一个)
port --> 端口号 (可以不只一个)
posted on 2018-12-18 21:03 Hello-World3 阅读(1406) 评论(0) 编辑 收藏 举报