lsof命令用于查看linux系统中进程打开的文件及网络连接等资源;支持全局查看、按进程名(-c)、用户(-u)、端口(-i)和路径(+d/直接路径)筛选,需注意权限与匹配规则。
如果您需要在Linux系统中查看当前被进程打开的文件,包括普通文件、目录、网络套接字、设备文件等,则可以使用lsof(list open files)命令。以下是具体操作方法:
一、基础查看所有打开的文件
lsof默认不加任何参数时会列出系统中所有进程打开的文件,输出信息量较大,适用于全局排查场景。该命令需要具备足够权限才能显示全部进程信息,普通用户可能仅能看到自身进程。
1、打开终端,输入命令:lsof。
2、若提示权限不足,切换为root用户或使用sudo执行:sudo lsof。
3、观察输出列:COMMAND(进程名)、PID(进程ID)、USER(所属用户)、FD(文件描述符)、TYPE(文件类型)、DEVICE、SIZE/OFF(大小或偏移)、NODE(inode号)、NAME(文件路径或网络地址)。
二、按进程名称筛选打开的文件
当已知目标进程名称时,可通过-p选项结合进程名快速定位其打开的文件,避免全量扫描带来的性能开销和信息干扰。
1、查找名为nginx的进程所打开的文件:lsof -c nginx。
2、查找多个进程名(如nginx和redis-server):lsof -c nginx -c redis-server。
3、注意-c参数匹配的是COMMAND列开头部分,不支持通配符,需确保名称拼写准确。
三、按用户查看打开的文件
该方法用于审计指定用户的资源占用情况,例如确认某用户是否持有大量文件句柄或未释放网络连接。
1、查看用户john打开的所有文件:lsof -u john。
2、查看除root外所有用户的打开文件:lsof -u ^root(^表示排除)。
3、同时指定多个用户:lsof -u john,alice。
四、查看指定端口上的网络连接
当需诊断网络服务是否正常监听或是否存在异常连接时,可利用lsof直接过滤特定端口,无需额外解析netstat或ss输出。
1、查看TCP 80端口被哪个进程占用:lsof -i :80。
2、限定协议类型,仅查看TCP连接:lsof -i tcp:443。
3、查看所有监听状态的端口:lsof -i -sTCP:LISTEN。
五、查看指定目录或文件被哪些进程占用
在卸载文件系统或删除关键目录前,必须确认无进程正在访问该路径,否则操作将失败。此方法可精准识别占用者。
1、检查/var/log目录是否被占用:lsof +D /var/log(+D递归扫描整个目录树)。
2、检查单个文件(如/etc/passwd)被哪些进程打开:lsof /etc/passwd。
3、若需强制卸载含活动文件的挂载点,先用此命令定位并终止对应进程,再执行umount。
