參考：http://blog.csdn.net/hx_jinqiang/article/details/6545728

我的常用：

1）根據埠找程序

lsof -i:22

2) 檢視指定目錄的程序佔用情況

lsof  /opt/app

3) 特定的程式打開了哪些檔案

lsof -p PID

4) 程序在，但是程序的目錄被刪掉了，找到程序的臨時檔案

/proc/$PID,$PID表示該程序的ID

5）用fuser命令檢視一下是哪些程序使用這個分割槽上

fuser –v –m /usr

6）用以下命令停掉它們

fuser -k –v –m /usr

lsof簡介
lsof（list open files）是一個列出當前系統開啟檔案的工具。在linux環境下，任何事物都以檔案的形式存在，通過檔案不僅僅可以訪問常規資料，還可以訪問網路連線 和硬體。所以如傳輸控制協議 (TCP) 和使用者資料報協議 (UDP) 套接字等，系統在後臺都為該應用程式分配了一個檔案描述符，無論這個檔案的本質如何，該檔案描述符為應用程式與基礎作業系統之間的互動提供了通用介面。因 為應用程式開啟檔案的描述符列表提供了大量關於這個應用程式本身的資訊，因此通過lsof工具能夠檢視這個列表對系統監測以及排錯將是很有幫助的。

lsof使用

lsof輸出資訊含義
在終端下輸入lsof即可顯示系統開啟的檔案，因為 lsof 需要訪問核心記憶體和各種檔案，所以必須以 root 使用者的身份執行它才能夠充分地發揮其功能。


COMMAND    PID      USER   FD      TYPE     DEVICE     SIZE       NODE      NAME
init       1         root  cwd      DIR       3,3       1024       2         /
init       1         root  rtd      DIR       3,3       1024       2         /
init       1         root  txt      REG       3,3       38432      1763452  /sbin/init
init       1         root  mem      REG       3,3       106114     1091620  /lib/libdl-2.6.so
init       1         root  mem      REG       3,3       7560696    1091614  /lib/libc-2.6.so
init       1         root  mem      REG       3,3       79460      1091669  /lib/libselinux.so.1
init       1         root  mem      REG       3,3       223280     1091668  /lib/libsepol.so.1
init       1         root  mem      REG       3,3       564136     1091607  /lib/ld-2.6.so
init       1         root  10u      FIFO      0,15                  1309     /dev/initctl
每行顯示一個開啟的檔案，若不指定條件預設將顯示所有程序開啟的所有檔案。lsof輸出各列資訊的意義如下：


COMMAND：程序的名稱
PID：程序識別符號
USER：程序所有者
FD：檔案描述符，應用程式通過檔案描述符識別該檔案。如cwd、txt等
TYPE：檔案型別，如DIR、REG等
DEVICE：指定磁碟的名稱
SIZE：檔案的大小
NODE：索引節點（檔案在磁碟上的標識）
NAME：開啟檔案的確切名稱
其中FD 列中的檔案描述符cwd 值表示應用程式的當前工作目錄，這是該應用程式啟動的目錄，除非它本身對這個目錄進行更改。txt 型別的檔案是程式程式碼，如應用程式二進位制檔案本身或共享庫，如上列表中顯示的 /sbin/init 程式。其次數值表示應用程式的檔案描述符，這是開啟該檔案時返回的一個整數。如上的最後一行檔案/dev/initctl，其檔案描述符為 10。u 表示該檔案被開啟並處於讀取/寫入模式，而不是隻讀 ? 或只寫 (w) 模式。同時還有大寫 的W 表示該應用程式具有對整個檔案的寫鎖。該檔案描述符用於確保每次只能開啟一個應用程式例項。初始開啟每個應用程式時，都具有三個檔案描述符，從 0 到 2，分別表示標準輸入、輸出和錯誤流。所以大多數應用程式所開啟的檔案的 FD 都是從 3 開始。


與 FD 列相比，Type 列則比較直觀。檔案和目錄分別稱為 REG 和 DIR。而CHR 和 BLK，分別表示字元和塊裝置；或者 UNIX、FIFO 和 IPv4，分別表示 UNIX 域套接字、先進先出 (FIFO) 佇列和網際協議 (IP) 套接字。

lsof常用引數

lsof 常見的用法是查詢應用程式開啟的檔案的名稱和數目。可用於查找出某個特定應用程式將日誌資料記錄到何處，或者正在跟蹤某個問題。例如，linux限制了進 程能夠開啟檔案的數目。通常這個數值很大，所以不會產生問題，並且在需要時，應用程式可以請求更大的值（直到某個上限）。如果你懷疑應用程式耗盡了檔案描 述符，那麼可以使用 lsof 統計開啟的檔案數目，以進行驗證。lsof語法格式是：


lsof ［options］ filename
常用的引數列表：


lsof  filename 顯示開啟指定檔案的所有程序
lsof -a 表示兩個引數都必須滿足時才顯示結果
lsof -c string   顯示COMMAND列中包含指定字元的程序所有開啟的檔案
lsof -u username  顯示所屬user程序開啟的檔案
lsof -g gid 顯示歸屬gid的程序情況
lsof +d /DIR/ 顯示目錄下被程序開啟的檔案
lsof +D /DIR/ 同上，但是會搜尋目錄下的所有目錄，時間相對較長
lsof -d FD 顯示指定檔案描述符的程序
lsof -n 不將IP轉換為hostname，預設是不加上-n引數


lsof -p PID 特定的程式打開了哪些檔案，一般配合ps使用


lsof -i 用以顯示符合條件的程序情況


lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
            46 --> IPv4 or IPv6
            protocol --> TCP or UDP
            hostname --> Internet host name
            hostaddr --> IPv4地址
            service --> /etc/service中的 service name (可以不只一個)
            port --> 埠號 (可以不只一個)
例如： 檢視22埠現在執行的情況


# lsof -i :22
COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME
sshd    1409 root    3u  IPv6   5678       TCP *:ssh (LISTEN)
檢視所屬root使用者程序所開啟的檔案型別為txt的檔案:


# lsof -a -u root -d txt
COMMAND    PID USER  FD      TYPE DEVICE    SIZE    NODE NAME
init       1    root txt       REG    3,3   38432 1763452 /sbin/init
mingetty  1632 root txt       REG    3,3   14366 1763337 /sbin/mingetty
mingetty  1633 root txt       REG    3,3   14366 1763337 /sbin/mingetty
mingetty  1634 root txt       REG    3,3   14366 1763337 /sbin/mingetty
mingetty  1635 root txt       REG    3,3   14366 1763337 /sbin/mingetty
mingetty  1636 root txt       REG    3,3   14366 1763337 /sbin/mingetty
mingetty  1637 root txt       REG    3,3   14366 1763337 /sbin/mingetty
kdm        1638 root txt       REG    3,3  132548 1428194 /usr/bin/kdm
X          1670 root txt       REG    3,3 1716396 1428336 /usr/bin/Xorg
kdm        1671 root txt       REG    3,3  132548 1428194 /usr/bin/kdm
startkde  2427 root txt       REG    3,3  645408 1544195 /bin/bash
... ...  

搜尋開啟的網路連線

搜尋遠端主機為10.8.17.5的所有網路連線，可執行lsof [email protected]


[[email protected] shell]# lsof [email protected]


COMMAND     PID USER   FD   TYPE  DEVICE SIZE NODE NAME


memcached  2688 root   34u  IPv4 8259548       TCP feed.cache.139.com:11211->app.friend.cache.139.com:46816 (ESTABLISHED)


ssh        7393 root    3u  IPv4 5737218       TCP feed.cache.139.com:50232->app.friend.cache.139.com:ssh (ESTABLISHED)


java      22033 root  119u  IPv6 6742042       TCP feed.cache.139.com:32873->app.friend.cache.139.com:11211 (ESTABLISHED)






[[email protected] shell]# ps uax | grep java 取得程序PID為22033


[[email protected] shell]# lsof -p 22033






[[email protected] shell]# lsof -c sshd


顯示sshd伺服器的所有例項機器他們所開啟的檔案


 

lsof使用例項

一、查詢誰在使用檔案系統

在解除安裝檔案系統時，如果該檔案系統中有任何開啟的檔案，操作通常將會失敗。那麼通過lsof可以找出那些程序在使用當前要解除安裝的檔案系統，如下：


# lsof  /GTES11/
COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME
bash    4208 root  cwd    DIR    3,1 4096    2 /GTES11/
vim     4230 root  cwd    DIR    3,1 4096    2 /GTES11/
在這個示例中，使用者root正在其/GTES11目錄中進行一些操作。一個 bash是例項正在執行，並且它當前的目錄為/GTES11，另一個則顯示的是vim正在編輯/GTES11下的檔案。要成功地解除安裝/GTES11，應該 在通知使用者以確保情況正常之後，中止這些程序。 這個示例說明了應用程式的當前工作目錄非常重要，因為它仍保持著檔案資源，並且可以防止檔案系統被解除安裝。這就是為什麼大部分守護程序（後臺程序）將它們的 目錄更改為根目錄、或服務特定的目錄（如 sendmail 示例中的 /var/spool/mqueue）的原因，以避免該守護程序阻止解除安裝不相關的檔案系統。

二、恢復刪除的檔案

當Linux計算機受到入侵時，常見的情況是日誌檔案被刪除，以掩蓋攻擊者的蹤跡。管理錯誤也可能導致意外刪除重要的檔案，比如在清理舊日誌時，意外地刪除了資料庫的活動事務日誌。有時可以通過lsof來恢復這些檔案。


當程序打開了某個檔案時，只要該程序保持開啟該檔案，即使將其刪除，它依然存在於磁碟中。這意味著，程序並不知道檔案已經被刪除，它仍然可以向開啟該檔案時提供給它的檔案描述符進行讀取和寫入。除了該程序之外，這個檔案是不可見的，因為已經刪除了其相應的目錄索引節點。


在/proc 目錄下，其中包含了反映核心和程序樹的各種檔案。/proc目錄掛載的是在記憶體中所對映的一塊區域，所以這些檔案和目錄並不存在於磁碟中，因此當我們對這 些檔案進行讀取和寫入時，實際上是在從記憶體中獲取相關資訊。大多數與 lsof 相關的資訊都儲存於以程序的 PID 命名的目錄中，即 /proc/1234 中包含的是 PID 為 1234 的程序的資訊。每個程序目錄中存在著各種檔案，它們可以使得應用程式簡單地瞭解程序的記憶體空間、檔案描述符列表、指向磁碟上的檔案的符號連結和其他系統信 息。lsof 程式使用該資訊和其他關於核心內部狀態的資訊來產生其輸出。所以lsof 可以顯示程序的檔案描述符和相關的檔名等資訊。也就是我們通過訪問程序的檔案描述符可以找到該檔案的相關資訊。


  
當系統中的某個檔案被意外地刪除了，只要這個時候系統中還有程序正在訪問該檔案，那麼我們就可以通過lsof從/proc目錄下恢復該檔案的內容。 假如由於誤操作將/var/log/messages檔案刪除掉了，那麼這時要將/var/log/messages檔案恢復的方法如下：


首先使用lsof來檢視當前是否有程序開啟/var/logmessages檔案，如下：


# lsof |grep /var/log/messages
syslogd   1283      root    2w      REG        3,3  5381017    1773647 /var/log/messages (deleted)
從上面的資訊可以看到 PID 1283（syslogd）開啟檔案的檔案描述符為 2。同時還可以看到/var/log/messages已經標記被刪除了。因此我們可以在 /proc/1283/fd/2 （fd下的每個以數字命名的檔案表示程序對應的檔案描述符）中檢視相應的資訊，如下：


# head -n 10 /proc/1283/fd/2
Aug  4 13:50:15 holmes86 syslogd 1.4.1: restart.
Aug  4 13:50:15 holmes86 kernel: klogd 1.4.1, log source = /proc/kmsg started.
Aug  4 13:50:15 holmes86 kernel: Linux version 2.6.22.1-8 ([email protected]) (gcc version 4.2.0) #1 SMP Wed Jul 18 11:18:32 EDT 2007
Aug  4 13:50:15 holmes86 kernel: BIOS-provided physical RAM map:
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 0000000000000000 - 000000000009f000 (usable)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 000000000009f000 - 00000000000a0000 (reserved)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 0000000000100000 - 000000001f7d3800 (usable)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 000000001f7d3800 - 0000000020000000 (reserved)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 00000000e0000000 - 00000000f0007000 (reserved)
Aug  4 13:50:15 holmes86 kernel:  BIOS-e820: 00000000f0008000 - 00000000f000c000 (reserved)
從上面的資訊可以看出，檢視 /proc/8663/fd/15 就可以得到所要恢復的資料。如果可以通過檔案描述符檢視相應的資料，那麼就可以使用 I/O 重定向將其複製到檔案中，如:


cat /proc/1283/fd/2 > /var/log/messages 
對於許多應用程式，尤其是日誌檔案和資料庫，這種恢復刪除檔案的方法非常有用。