1. 程式人生 > >Linux下用 lsof 命令查詢指定埠被哪個程序佔用

Linux下用 lsof 命令查詢指定埠被哪個程序佔用

lsof(list open files)是一個列出當前系統開啟檔案的工具。在Linux環境下,任何事物都以檔案的形式存在,通過檔案不僅僅可以訪問常規資料,還可以訪問網路連線 和硬體。所以如傳輸控制協議 (tcp) 和使用者資料報協議 (udp) 套接字等,系統在後臺都為該應用程式分配了一個檔案描述符,無論這個檔案的本質如何,該檔案描述符為應用程式與基礎作業系統之間的互動提供了通用介面。因 為應用程式開啟檔案的描述符列表提供了大量關於這個應用程式本身的資訊,因此通過lsof工具能夠檢視這個列表對系統監測以及排錯將是很有幫助的。 

lsof使用

lsof輸出資訊含義:

在終端下輸入lsof即可顯示系統開啟的檔案,因為 lsof 需要訪問核心

記憶體和各種檔案,所以必須以 root 使用者的身份執行它才能夠充分地發揮其功能。

command pid user fd type device size Node name
init 1 root cwd dir 3,3 1024 2 /
init 1 root rtd dir 3,3 1024 2 /
init 1 root txt reg 3,3 38432 1763452 /sbin/init
init 1 root mem reg 3,3 106114 1091620 /lib/libdl-2.6.so
init 1 root mem reg 3,3 7560696 1091614 /lib/libc-2.6.so
init 1 root mem reg 3,3 79460 1091669 /lib/libselinux.so.1
init 1 root mem reg 3,3 223280 1091668 /lib/libsepol.so.1
init 1 root mem reg 3,3 564136 1091607 /lib/ld-2.6.so
init 1 root 10u fifo 0,15 1309 /dev/initctl

每行顯示一個開啟的檔案,若不指定條件預設將顯示所有程序開啟的所有檔案。lsof輸出各列資訊的意義如下:

  • command:程序的名稱
  • pid:程序識別符號
  • user:程序所有者
  • fd:檔案描述符,應用程式通過檔案描述符識別該檔案。如cwd、txt等
  • type:檔案型別,如dir、reg等
  • device:指定磁碟的名稱
  • size:檔案的大小
  • node:索引節點(檔案在磁碟上的標識)
  • name:開啟檔案的確切名稱

其中fd 列中的檔案描述符cwd 值表示應用程式的當前工作目錄,這是該應用程式啟動的目錄,除非它本身對這個目錄進行更改。txt 型別的檔案是程式程式碼,如應用程式二進位制檔案本身或共享庫,如上列表中顯示的 /sbin/init 程式。其次數值表示應用程式的檔案描述符,這是開啟該檔案時返回的一個整數。如上的最後一行檔案/dev/initctl,其檔案描述符為 10。u 表示該檔案被開啟並處於讀取/寫入模式,而不是隻讀 R 或只寫 W 模式。同時還有大寫 的w 表示該應用程式具有對整個檔案的寫鎖。該檔案描述符用於確保每次只能開啟一個應用程式例項。初始開啟每個應用程式時,都具有三個檔案描述符,從 0 到 2,分別表示標準輸入、輸出和錯誤流。所以大多數應用程式所開啟的檔案的 fd 都是從 3 開始。

與 fd 列相比,type 列則比較直觀。檔案和目錄分別稱為 reg 和 dir。而chr 和 blk,分別表示字元和塊裝置;或者 Unix、fifo 和 ipv4,分別表示 unix 域套接字、先進先出 (fifo) 佇列和網際協議 (ip) 套接字。

lsof常用引數

lsof 常見的用法是查詢應用程式開啟的檔案的名稱和數目。可用於查找出某個特定應用程式將日誌資料記錄到何處,或者正在跟蹤某個問題。例如,linux限制了程序能夠開啟檔案的數目。通常這個數值很大,所以不會產生問題,並且在需要時,應用程式可以請求更大的值(直到某個上限)。如果你懷疑應用程式耗盡了檔案描述符,那麼可以使用 lsof 統計開啟的檔案數目,以進行驗證。lsof語法格式是:

# lsof [options] filename

常用的引數列表:

  • lsof filename 顯示開啟指定檔案的所有程序
  • lsof -a 表示兩個引數都必須滿足時才顯示結果
  • lsof -c string 顯示command列中包含指定字元的程序所有開啟的檔案
  • lsof -u username 顯示所屬user程序開啟的檔案
  • lsof -g gid 顯示歸屬gid的程序情況
  • lsof +d /dir/ 顯示目錄下被程序開啟的檔案
  • lsof +d /dir/ 同上,但是會搜尋目錄下的所有目錄,時間相對較長
  • lsof -d fd 顯示指定檔案描述符的程序
  • lsof -n 不將ip轉換為hostname,預設是不加上-n引數
  • lsof -i 用以顯示符合條件的程序情況
  • lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
  • 46 --> ipv4 or IPv6
  • protocol --> tcp or udp
  • hostname --> internet host name
  • hostaddr --> ipv4地址
  • service --> /etc/service中的 service name (可以不只一個)
  • port --> 埠號 (可以不只一個)

例如: 檢視22埠現在執行的情況

# lsof -i :22
command pid user fd type device size node name
sshd 1409 root 3u ipv6 5678 tcp *:SSH (listen)

檢視所屬root使用者程序所開啟的檔案型別為txt的檔案:

# lsof -a -u root -d txt
command pid user fd type device size node name
init 1 root txt reg 3,3 38432 1763452 /sbin/init
mingetty 1632 root txt reg 3,3 14366 1763337 /sbin/mingetty
mingetty 1633 root txt reg 3,3 14366 1763337 /sbin/mingetty
mingetty 1634 root txt reg 3,3 14366 1763337 /sbin/mingetty
mingetty 1635 root txt reg 3,3 14366 1763337 /sbin/mingetty
mingetty 1636 root txt reg 3,3 14366 1763337 /sbin/mingetty
mingetty 1637 root txt reg 3,3 14366 1763337 /sbin/mingetty
kdm 1638 root txt reg 3,3 132548 1428194 /usr/bin/kdm
x 1670 root txt reg 3,3 1716396 1428336 /usr/bin/xorg
kdm 1671 root txt reg 3,3 132548 1428194 /usr/bin/kdm
startkde 2427 root txt reg 3,3 645408 1544195 /bin/Bash
... ...

lsof使用例項

一、查詢誰在使用檔案系統

在解除安裝檔案系統時,如果該檔案系統中有任何開啟的檔案,操作通常將會失敗。那麼通過lsof可以找出那些程序在使用當前要解除安裝的檔案系統,如下:

# lsof /gtes11/
command pid user fd type device size node name
bash 4208 root cwd dir 3,1 4096 2 /gtes11/
vim 4230 root cwd dir 3,1 4096 2 /gtes11/

在 這個示例中,使用者root正在其/gtes11目錄中進行一些操作。一個 bash是例項正在執行,並且它當前的目錄為/gtes11,另一個則顯示的是vim正在編輯/gtes11下的檔案。要成功地解除安裝/gtes11,應該 在通知使用者以確保情況正常之後,中止這些程序。 這個示例說明了應用程式的當前工作目錄非常重要,因為它仍保持著檔案資源,並且可以防止檔案系統被解除安裝。這就是為什麼大部分守護程序(後臺程序)將它們的 目錄更改為根目錄、或服務特定的目錄(如 示例中的 /var/spool/mqueue)的原因,以避免該守護程序阻止解除安裝不相關的檔案系統。

二、恢復刪除的檔案

當linux計算機受到入侵時,常見的情況是日誌檔案被刪除,以掩蓋攻擊者的蹤跡。管理錯誤也可能導致意外刪除重要的檔案,比如在清理舊日誌時,意外地刪除了資料庫的活動事務日誌。有時可以通過lsof來恢復這些檔案。

當程序打開了某個檔案時,只要該程序保持開啟該檔案,即使將其刪除,它依然存在於磁碟中。這意味著,程序並不知道檔案已經被刪除,它仍然可以向開啟該檔案時提供給它的檔案描述符進行讀取和寫入。除了該程序之外,這個檔案是不可見的,因為已經刪除了其相應的目錄索引節點。

在/proc 目錄下,其中包含了反映核心和程序樹的各種檔案。/proc目錄掛載的是在記憶體中所對映的一塊區域,所以這些檔案和目錄並不存在於磁碟中,因此當我們對這 些檔案進行讀取和寫入時,實際上是在從記憶體中獲取相關資訊。大多數與 lsof 相關的資訊都儲存於以程序的 pid 命名的目錄中,即 /proc/1234 中包含的是 pid 為 1234 的程序的資訊。每個程序目錄中存在著各種檔案,它們可以使得應用程式簡單地瞭解程序的記憶體空間、檔案描述符列表、指向磁碟上的檔案的符號連結和其他系統信 息。lsof 程式使用該資訊和其他關於核心內部狀態的資訊來產生其輸出。所以lsof 可以顯示程序的檔案描述符和相關的檔名等資訊。也就是我們通過訪問程序的檔案描述符可以找到該檔案的相關資訊。

當 系統中的某個檔案被意外地刪除了,只要這個時候系統中還有程序正在訪問該檔案,那麼我們就可以通過lsof從/proc目錄下恢復該檔案的內容。 假如由於誤操作將/var/log/messages檔案刪除掉了,那麼這時要將/var/log/messages檔案恢復的方法如下:

首先使用lsof來檢視當前是否有程序開啟/var/logmessages檔案,如下:

# lsof |grep /var/log/messages
syslogd 1283 root 2w reg 3,3 5381017 1773647 /var/log/messages (deleted)

從 上面的資訊可以看到 pid 1283(syslogd)開啟檔案的檔案描述符為 2。同時還可以看到/var/log/messages已經標記被刪除了。因此我們可以在 /proc/1283/fd/2 (fd下的每個以數字命名的檔案表示程序對應的檔案描述符)中檢視相應的資訊,如下:

# head -n 10 /proc/1283/fd/2
aug 4 13:50:15 holmes86 syslogd 1.4.1: restart.
aug 4 13:50:15 holmes86 : klogd 1.4.1, log source = /proc/kmsg started.
aug 4 13:50:15 holmes86 kernel: linux version 2.6.22.1-8 ([email protected]) (gcc version 4.2.0) #1 smp wed jul 18 11:18:32 edt 2007
aug 4 13:50:15 holmes86 kernel: bios-provided physical ram map:
aug 4 13:50:15 holmes86 kernel: bios-e820: 0000000000000000 - 000000000009f000 (usable)
aug 4 13:50:15 holmes86 kernel: bios-e820: 000000000009f000 - 00000000000a0000 (reserved)
aug 4 13:50:15 holmes86 kernel: bios-e820: 0000000000100000 - 000000001f7d3800 (usable)
aug 4 13:50:15 holmes86 kernel: bios-e820: 000000001f7d3800 - 0000000020000000 (reserved)
aug 4 13:50:15 holmes86 kernel: bios-e820: 00000000e0000000 - 00000000f0007000 (reserved)
aug 4 13:50:15 holmes86 kernel: bios-e820: 00000000f0008000 - 00000000f000c000 (reserved)

從上面的資訊可以看出,檢視 /proc/8663/fd/15 就可以得到所要恢復的資料。如果可以通過檔案描述符檢視相應的資料,那麼就可以使用 i/o 重定向將其複製到檔案中,如:

# cat /proc/1283/fd/2 > /var/log/messages

對於許多應用程式,尤其是日誌檔案和資料庫,這種恢復刪除檔案的方法非常有用。

# lsof -i:3306

檢視3306埠被誰佔用

相關推薦

Linux lsof 命令查詢指定哪個程序佔用

lsof(list open files)是一個列出當前系統開啟檔案的工具。在Linux環境下,任何事物都以檔案的形式存在,通過檔案不僅僅可以訪問常規資料,還可以訪問網路連線 和硬體。所以如傳輸控制協議 (tcp) 和使用者資料報協議 (udp) 套接字等,系統在後臺都為該應用程式分配了一個檔案描述符,無論

linuxscp命令在兩個服務器之間傳輸文件,利用php_scp函數進行文件傳輸

evc 在操作 path send 返回值 遠程 false cal 上傳 在linux下利用scp進行文件傳輸, 從服務器下載文件 scp [email protected]/* */:/path/filename /path/filename 上傳

linuxmail命令發送郵件

郵件 發送 1、首先要安裝maix,默認已經安裝。2、配置/etc/mail.rc set [email protected]/* */set smtp=mail.qyr.comset [email protected]/* */set smtp-auth-password

linuxexport命令臨時設置環境變量

linux export 今天在執行flask命令的時候報了一個錯誤,RuntimeError: Click will abort further execution because Python 3 was configured to use ASCII as encoding for the en

Linuxifconfig命令設定IP、掩碼、閘道器

2 ifconfig 配置網路介面; ifconfig 可以用來配置網路介面的IP地址、掩碼、閘道器、實體地址等;值得一說的是用ifconfig 為網絡卡指定IP地址,這只是用來除錯網路用的,並不會更改系統關於網絡卡的配置檔案。如果您想把網路介面的IP地址固定下來,目前有三個方法:一是通過各個 發行和版本專用

linuxiptables做本機轉發方法

linux下用iptables做本機埠轉發方法 轉載 2015年01月15日 11:06:02 標籤: linux 33450 一 :從一臺機到另一臺機埠轉發 啟用網絡卡轉發功能 #echo 1 > /proc/sys/net/ipv4/ip_forward

linuxtop命令檢視cpu利用率超過100

今天啟動一個高負載的程序。我用top命令監控系統。發現cpu的佔用比例常常顯示120%以上。 我的機器是8cpu的。 經過在網上搜索,發現top命令顯示的是佔用的cpu總數。 即8cpu時top下cpu利用率最大可以到達800%。 如果你的程序利用了多個cpu,那麼

Linux mkdir 命令來建立目錄和子目錄

mkdir 是什麼呢 Mkdir 是一個用來在 Linux 系統下建立目錄的命令。此命令屬於內建命令。 執行 mkdir 命令 你可以在你的控制檯直接鍵入 mkdir 來使用它。 $ mkdir 預設情況下,不帶任何引數執行 mkdir 命令會在當前目錄下

linuxtar命令將當前目錄檔案按子目錄壓縮歸檔

作者:iamlaosong 日常工作中,我們常常需要用tar命令將歷史檔案壓縮歸檔,再刪除原始檔,以便節省空間。如果壓縮歸檔成一個檔案,就比較簡單,用一條命令即可,如命令:tar -czf bak2013.tgz t2013/*就將t2013目錄下所有的檔案打包成一個壓縮檔

linuxecho命令來清理日誌,清理完畢之後不需要重啟

echo "" > /usr/local/tomcat/tms2api.wuliusys.com/logs/catalina.out 這裡是清理在linux下catalina.out tomcat的日誌, 這裡 就是用echo "" > 後面跟目標路徑 將其

Linux 命令鏈接Github

merge git clas QQ -a linu .com 驗證 linux 用命令鏈接github 初始化 需要用ssh公鑰鏈接到github,註意不能從vim中直接復制 介紹一個命令: xsel < test.txt 將文件中內容直接復制到剪切板中 具體做法 g

Linuxroot許可權新增使用者,並給使用者或使用者組指定目錄的讀寫許可權(比如:tomcat檔案的讀寫許可權,可以用於新使用者部署專案)

目的: 在linux環境中為了安全起見,不能讓所有專案都用root部署(防止root許可權過大,對重要檔案的誤操作),所以新加使用者或使用者組,對新使用者或使用者組授予部分檔案操作的許可權。 1.建立使用者newuser,並設定密碼(預設連帶建立newuser組) # useradd n

Linuxls和du命令檢視檔案以及資料夾大小 (轉載)

ls的用法 ls -l |grep "^-"|wc -l或find ./company -type f | wc -l  檢視某資料夾下檔案的個數,包括子資料夾裡的。 ls -lR|grep "^-"|wc -l   檢視某資料夾下資料夾的個數,包括子資料夾裡的

Linux Shell環境jq命令處理json檔案

安裝 CentOS下可以直接通過yum安裝: yum install jq -y 使用方法 假設有一個名為test.json的檔案,內容如下: { "Summary": { "Version": "1.0", "Comment

linux的find檔案查詢命令與grep檔案內容查詢命令

  在使用linux時,經常需要進行檔案查詢。其中查詢的命令主要有find和grep。兩個命令是有區的。   區別:(1)find命令是根據檔案的屬性進行查詢,如檔名,檔案大小,所有者,所屬組,是否為空,訪問時間,修改時間等。                 

Linux查詢80哪些IP訪問連線,以及查詢異常連線IP地址可以封掉異常IP

netstat -tun 列出的是所有連線 netstat -tun | grep ":80" Linux下查詢80埠被哪些IP訪問連線。 應該就能達到你的要求查詢IP連線訪問彙總,如發現異常IP則可以封掉異常的IP訪問地址。netstat -tn 2>/dev/n

Linux find(檔案查詢命令的用法總結

[轉自:http://blog.chinaunix.net/uid-24648486-id-2998767] Linux下查詢檔案的命令有兩個:locate 和 find 首先說下locate,locate這個命令是對其生成的資料庫進行遍歷(生成資料庫的命令:update

Linuxls和du命令檢視檔案以及資料夾大小

ls -l |grep "^-"|wc -l或find ./company -type f | wc -l  檢視某資料夾下檔案的個數,包括子資料夾裡的。 ls -lR|grep "^-"|wc -l   檢視某資料夾下資料夾的個數,包括子資料夾裡的。 ls -lR|grep "^d"|wc -l  說明:

Linuxfind(檔案查詢命令使用例項總結

path:要查詢的目錄路徑。        ~ 表示$HOME目錄        . 表示當前目錄        / 表示根目錄 print:表示將結果輸出到標準輸出。 exec:對匹配的檔案執行該引數所給出的shell命令。        形式為command {} \;,注意{}與\;之間有空格 ok:與

Linuxnetstat檢視網路狀態、狀態

      在linux一般使用netstat 來檢視系統埠使用情況步。       netstat命令是一個監控TCP/IP網路的非常有用的工具,它可以顯示路由表、實際的網路連線以及每一個網路介面裝置的       netstat命令的功能是顯示網路連線、路由表和網路介