当前位置：首页 > news >正文

深入探索Linux的lsof命令

news 文章来源：https://blog.csdn.net/IOT_AI/article/details/137300050 2025/5/14 4:18:26

在Linux系统中，了解哪些文件被哪些进程打开对于系统管理和问题诊断是极其重要的。这正是lsof命令，即List Open Files，发挥其强大功能的场景。本文旨在详细介绍lsof的起源、底层原理、参数意义，常见用法，并详解其返回结果的每个字段含义。此外，我们将讨论在使用lsof命令时需要注意的事项。

1. lsof的起源与演变 🌟

lsof最初由Victor A. Abell在1987年开发，目的是为了帮助Unix系统的管理员和开发人员更好地监控和诊断系统问题。随着时间的推移，lsof已经成为Linux系统中不可或缺的诊断工具。

2. 底层原理 🔍

lsof通过访问Linux的/proc文件系统来获取信息。/proc文件系统包含了系统运行中的进程详情，包括但不限于打开的文件、网络连接等。lsof解析这些信息，并以用户友好的格式呈现。

3. 参数详解 📚

-d <描述符>：显示指定文件描述符的文件。
-u <用户>：显示特定用户打开的文件。
-c <命令>：显示由特定命令打开的文件。
-p <PID>：显示特定进程打开的文件。
-i：显示所有网络连接。
-n：直接显示IP地址，不进行域名解析，以加快处理速度。
-l：显示登录用户名称而非ID。
+D <目录>：显示特定目录下打开的文件。
-a：用于多个条件的组合

4. 常见用法示例 🛠

4.1. 查看所有网络连接

命令：lsof -i

举例如下：

root@containerd:~# lsof -i
COMMAND     PID            USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
systemd-r   806 systemd-resolve   13u  IPv4    482      0t0  UDP localhost:domain
systemd-r   806 systemd-resolve   14u  IPv4    483      0t0  TCP localhost:domain (LISTEN)
container   859            root   10u  IPv4  20344      0t0  TCP localhost:45543 (LISTEN)
chronyd     883         _chrony    5u  IPv4  23928      0t0  UDP localhost:323
chronyd     883         _chrony    6u  IPv6  23929      0t0  UDP ip6-localhost:323
sshd       1105            root    4u  IPv4  32344      0t0  TCP containerd:ssh->192.168.11.1:64450 (ESTABLISHED)
sshd       1105            root    5u  IPv6  20463      0t0  TCP ip6-localhost:6010 (LISTEN)
sshd       1105            root    7u  IPv4  20464      0t0  TCP localhost:6010 (LISTEN)
sshd      18290            root    3u  IPv4  48775      0t0  TCP *:ssh (LISTEN)
root@containerd:~#

4.2. 查看特定用户打开的文件

命令：lsof -u <username>

举例如下：

root@containerd:~# lsof -u _chrony
COMMAND   PID    USER   FD   TYPE             DEVICE SIZE/OFF      NODE NAME
chronyd 89320 _chrony  cwd    DIR              253,0      300       128 /
chronyd 89320 _chrony  rtd    DIR              253,0      300       128 /
chronyd 89320 _chrony  txt    REG              253,0   285712    292271 /usr/sbin/chronyd (deleted)
chronyd 89320 _chrony  mem    REG              253,0   526896 134393888 /usr/lib/x86_64-linux-gnu/libgmp.so.10.4.1
chronyd 89320 _chrony  mem    REG              253,0   289800 134393900 /usr/lib/x86_64-linux-gnu/libhogweed.so.6.4
chronyd 89320 _chrony  mem    REG              253,0  1743016 134598162 /usr/lib/x86_64-linux-gnu/libunistring.so.2.2.0
chronyd 89320 _chrony  mem    REG              253,0  2220400 134797001 /usr/lib/x86_64-linux-gnu/libc.so.6
chronyd 89320 _chrony  mem    REG              253,0    47688 134393875 /usr/lib/x86_64-linux-gnu/libffi.so.8.1.0
chronyd 89320 _chrony  mem    REG              253,0    92312 134598155 /usr/lib/x86_64-linux-gnu/libtasn1.so.6.6.2
chronyd 89320 _chrony  mem    REG              253,0   129096 134393907 /usr/lib/x86_64-linux-gnu/libidn2.so.0.3.7
chronyd 89320 _chrony  mem    REG              253,0  1285888 134538208 /usr/lib/x86_64-linux-gnu/libp11-kit.so.0.3.0
chronyd 89320 _chrony  mem    REG              253,0   125360 134538237 /usr/lib/x86_64-linux-gnu/libseccomp.so.2.5.3
chronyd 89320 _chrony  mem    REG              253,0    39024 134318281 /usr/lib/x86_64-linux-gnu/libcap.so.2.44
chronyd 89320 _chrony  mem    REG              253,0  2000320 134318753 /usr/lib/x86_64-linux-gnu/libgnutls.so.30.31.0
chronyd 89320 _chrony  mem    REG              253,0   281000 134538195 /usr/lib/x86_64-linux-gnu/libnettle.so.8.4
chronyd 89320 _chrony  mem    REG              253,0   940560 134797004 /usr/lib/x86_64-linux-gnu/libm.so.6
chronyd 89320 _chrony  mem    REG              253,0   240936 134331442 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
chronyd 89320 _chrony    0r   CHR                1,3      0t0         5 /dev/null
chronyd 89320 _chrony    1w   CHR                1,3      0t0         5 /dev/null
chronyd 89320 _chrony    2u   CHR                1,3      0t0         5 /dev/null
chronyd 89320 _chrony    3u  unix 0xffff96061c7b8400      0t0    123976 type=DGRAM
chronyd 89320 _chrony    5u  IPv4             123981      0t0       UDP localhost:323
chronyd 89320 _chrony    6u  IPv6             123982      0t0       UDP ip6-localhost:323
chronyd 89320 _chrony    7u  unix 0xffff96061c7bd400      0t0    123983 /run/chrony/chronyd.sock type=DGRAM
chronyd 89320 _chrony    8u  unix 0xffff96061c7bb800      0t0    123984 type=SEQPACKET
chronyd 89321 _chrony  cwd    DIR              253,0      300       128 /
chronyd 89321 _chrony  rtd    DIR              253,0      300       128 /
chronyd 89321 _chrony  txt    REG              253,0   285712    292271 /usr/sbin/chronyd (deleted)
chronyd 89321 _chrony  mem    REG              253,0   526896 134393888 /usr/lib/x86_64-linux-gnu/libgmp.so.10.4.1
chronyd 89321 _chrony  mem    REG              253,0   289800 134393900 /usr/lib/x86_64-linux-gnu/libhogweed.so.6.4
chronyd 89321 _chrony  mem    REG              253,0  1743016 134598162 /usr/lib/x86_64-linux-gnu/libunistring.so.2.2.0
chronyd 89321 _chrony  mem    REG              253,0  2220400 134797001 /usr/lib/x86_64-linux-gnu/libc.so.6
chronyd 89321 _chrony  mem    REG              253,0    47688 134393875 /usr/lib/x86_64-linux-gnu/libffi.so.8.1.0
chronyd 89321 _chrony  mem    REG              253,0    92312 134598155 /usr/lib/x86_64-linux-gnu/libtasn1.so.6.6.2
chronyd 89321 _chrony  mem    REG              253,0   129096 134393907 /usr/lib/x86_64-linux-gnu/libidn2.so.0.3.7
chronyd 89321 _chrony  mem    REG              253,0  1285888 134538208 /usr/lib/x86_64-linux-gnu/libp11-kit.so.0.3.0
chronyd 89321 _chrony  mem    REG              253,0   125360 134538237 /usr/lib/x86_64-linux-gnu/libseccomp.so.2.5.3
chronyd 89321 _chrony  mem    REG              253,0    39024 134318281 /usr/lib/x86_64-linux-gnu/libcap.so.2.44
chronyd 89321 _chrony  mem    REG              253,0  2000320 134318753 /usr/lib/x86_64-linux-gnu/libgnutls.so.30.31.0
chronyd 89321 _chrony  mem    REG              253,0   281000 134538195 /usr/lib/x86_64-linux-gnu/libnettle.so.8.4
chronyd 89321 _chrony  mem    REG              253,0   940560 134797004 /usr/lib/x86_64-linux-gnu/libm.so.6
chronyd 89321 _chrony  mem    REG              253,0   240936 134331442 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
chronyd 89321 _chrony    0r   CHR                1,3      0t0         5 /dev/null
chronyd 89321 _chrony    1w   CHR                1,3      0t0         5 /dev/null
chronyd 89321 _chrony    2u   CHR                1,3      0t0         5 /dev/null
chronyd 89321 _chrony    9u  unix 0xffff96061c7be400      0t0    123985 type=SEQPACKET
root@containerd:~#

4.3. 列出某个程序打开的文件

命令：lsof -c <app-name>

举例如下：

root@containerd:~# lsof -c containerd
COMMAND   PID USER   FD      TYPE             DEVICE SIZE/OFF      NODE NAME
container 859 root  cwd       DIR              253,0      300       128 /
container 859 root  rtd       DIR              253,0      300       128 /
container 859 root  txt       REG              253,0 38939752 203321724 /usr/local/bin/containerd
container 859 root  mem-W     REG              253,0   262144 135005784 /var/lib/containerd/io.containerd.metadata.v1.bolt/meta.db
container 859 root    0r      CHR                1,3      0t0         5 /dev/null
container 859 root    1u     unix 0xffff960611bf7c00      0t0     21764 type=STREAM
container 859 root    2u     unix 0xffff960611bf7c00      0t0     21764 type=STREAM
container 859 root    3uW     REG              253,0   262144 135005784 /var/lib/containerd/io.containerd.metadata.v1.bolt/meta.db
container 859 root    4u  a_inode               0,14        0      1053 [eventpoll]
container 859 root    5r     FIFO               0,13      0t0     19451 pipe
container 859 root    6w     FIFO               0,13      0t0     19451 pipe
container 859 root    7r  a_inode               0,14        0      1053 inotify
container 859 root    8u     unix 0xffff96061c390c00      0t0       553 /run/containerd/containerd.sock.ttrpc type=STREAM
container 859 root    9u     unix 0xffff96061c390800      0t0       554 /run/containerd/containerd.sock type=STREAM
container 859 root   10u     IPv4              20344      0t0       TCP localhost:45543 (LISTEN)
root@containerd:~#

4.4. 查看指定进程打开的文件

命令：lsof -p <pid>

举例如下：

root@containerd:~# ps -ef|grep containerd
root         859       1  0 22:33 ?        00:00:05 /usr/local/bin/containerd
root       52472    1141  0 23:02 pts/0    00:00:00 grep --color=auto containerd
root@containerd:~#
root@containerd:~#
root@containerd:~# lsof -p 859
COMMAND   PID USER   FD      TYPE             DEVICE SIZE/OFF      NODE NAME
container 859 root  cwd       DIR              253,0      300       128 /
container 859 root  rtd       DIR              253,0      300       128 /
container 859 root  txt       REG              253,0 38939752 203321724 /usr/local/bin/containerd
container 859 root  mem-W     REG              253,0   262144 135005784 /var/lib/containerd/io.containerd.metadata.v1.bolt/meta.db
container 859 root    0r      CHR                1,3      0t0         5 /dev/null
container 859 root    1u     unix 0xffff960611bf7c00      0t0     21764 type=STREAM
container 859 root    2u     unix 0xffff960611bf7c00      0t0     21764 type=STREAM
container 859 root    3uW     REG              253,0   262144 135005784 /var/lib/containerd/io.containerd.metadata.v1.bolt/meta.db
container 859 root    4u  a_inode               0,14        0      1053 [eventpoll]
container 859 root    5r     FIFO               0,13      0t0     19451 pipe
container 859 root    6w     FIFO               0,13      0t0     19451 pipe
container 859 root    7r  a_inode               0,14        0      1053 inotify
container 859 root    8u     unix 0xffff96061c390c00      0t0       553 /run/containerd/containerd.sock.ttrpc type=STREAM
container 859 root    9u     unix 0xffff96061c390800      0t0       554 /run/containerd/containerd.sock type=STREAM
container 859 root   10u     IPv4              20344      0t0       TCP localhost:45543 (LISTEN)
root@containerd:~#

4.5. 查找监听特定端口的进程

命令：lsof -i :<port>

举例如下：

root@containerd:~# lsof -i :22
COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd      1105 root    4u  IPv4  32344      0t0  TCP containerd:ssh->192.168.11.1:64450 (ESTABLISHED)
sshd     64873 root    4u  IPv4 109217      0t0  TCP containerd:ssh->192.168.11.1:49324 (ESTABLISHED)
sshd    101308 root    3u  IPv4 142285      0t0  TCP *:ssh (LISTEN)
root@containerd:~#

4.6. 查看所有处于监听状态的TCP连接

命令：lsof -i -sTCP:LISTEN

举例如下：

root@containerd:~# lsof -i -sTCP:LISTEN
COMMAND      PID            USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
container    859            root   10u  IPv4  20344      0t0  TCP localhost:45543 (LISTEN)
sshd        1105            root    5u  IPv6  20463      0t0  TCP ip6-localhost:6010 (LISTEN)
sshd        1105            root    7u  IPv4  20464      0t0  TCP localhost:6010 (LISTEN)
sshd       64873            root    5u  IPv6 106249      0t0  TCP ip6-localhost:6011 (LISTEN)
sshd       64873            root    7u  IPv4 106250      0t0  TCP localhost:6011 (LISTEN)
systemd-r  90947 systemd-resolve   14u  IPv4 126817      0t0  TCP localhost:domain (LISTEN)
sshd      101308            root    3u  IPv4 142285      0t0  TCP *:ssh (LISTEN)
root@containerd:~#

4.7. 查看所有处于建立好连接的TCP

命令：lsof -i -sTCP:ESTABLISHED

举例如下：

root@containerd:~# lsof -i -sTCP:ESTABLISHED
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd     1105 root    4u  IPv4  32344      0t0  TCP containerd:ssh->192.168.11.1:64450 (ESTABLISHED)
sshd    64873 root    4u  IPv4 109217      0t0  TCP containerd:ssh->192.168.11.1:49324 (ESTABLISHED)
root@containerd:~#

4.8. 查看指定进程监听的端口

命令：lsof -i -a -p <port>

举例如下：

root@containerd:~# ps -ef|grep sshd
root        1105       1  0 22:34 ?        00:00:02 sshd: root@pts/0
root       64873       1  0 23:05 ?        00:00:00 sshd: root@pts/2
root      101308       1  0 23:06 ?        00:00:00 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups
root      137623   66196  0 23:26 pts/2    00:00:00 grep --color=auto sshd
root@containerd:~#
root@containerd:~#
root@containerd:~# lsof -i -a -p 101308 -n
COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    101308 root    3u  IPv4 142285      0t0  TCP *:ssh (LISTEN)
root@containerd:~#

4.9. 查看指定命令监听的端口

命令：lsof -i -a -c <command>

举例如下：

root@containerd:~# lsof -i -a -c sshd
COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd      1105 root    4u  IPv4  32344      0t0  TCP containerd:ssh->192.168.11.1:64450 (ESTABLISHED)
sshd      1105 root    5u  IPv6  20463      0t0  TCP ip6-localhost:6010 (LISTEN)
sshd      1105 root    7u  IPv4  20464      0t0  TCP localhost:6010 (LISTEN)
sshd     64873 root    4u  IPv4 109217      0t0  TCP containerd:ssh->192.168.11.1:49324 (ESTABLISHED)
sshd     64873 root    5u  IPv6 106249      0t0  TCP ip6-localhost:6011 (LISTEN)
sshd     64873 root    7u  IPv4 106250      0t0  TCP localhost:6011 (LISTEN)
sshd    101308 root    3u  IPv4 142285      0t0  TCP *:ssh (LISTEN)
root@containerd:~#
root@containerd:~# lsof -i -a -c chrony
COMMAND    PID    USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
chronyd 101640 _chrony    5u  IPv4 149537      0t0  UDP localhost:323
chronyd 101640 _chrony    6u  IPv6 149538      0t0  UDP ip6-localhost:323
root@containerd:~#

4.10. 查看所有TCP连接

命令：lsof -i tcp

举例如下：

root@containerd:~# lsof -i tcp
COMMAND      PID            USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
container    859            root   10u  IPv4  20344      0t0  TCP localhost:45543 (LISTEN)
sshd        1105            root    4u  IPv4  32344      0t0  TCP containerd:ssh->192.168.11.1:64450 (ESTABLISHED)
sshd        1105            root    5u  IPv6  20463      0t0  TCP ip6-localhost:6010 (LISTEN)
sshd        1105            root    7u  IPv4  20464      0t0  TCP localhost:6010 (LISTEN)
sshd       64873            root    4u  IPv4 109217      0t0  TCP containerd:ssh->192.168.11.1:49324 (ESTABLISHED)
sshd       64873            root    5u  IPv6 106249      0t0  TCP ip6-localhost:6011 (LISTEN)
sshd       64873            root    7u  IPv4 106250      0t0  TCP localhost:6011 (LISTEN)
systemd-r  90947 systemd-resolve   14u  IPv4 126817      0t0  TCP localhost:domain (LISTEN)
sshd      101308            root    3u  IPv4 142285      0t0  TCP *:ssh (LISTEN)
root@containerd:~#

4.11. 查看所有UDP连接

命令：lsof -i udp

举例如下：

root@containerd:~#
root@containerd:~# lsof -i udp
COMMAND      PID            USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
systemd-r  90947 systemd-resolve   13u  IPv4 126816      0t0  UDP localhost:domain
chronyd   101640         _chrony    4u  IPv4 178430      0t0  UDP containerd:48223->makaki.miuku.net:ntp
chronyd   101640         _chrony    5u  IPv4 149537      0t0  UDP localhost:323
chronyd   101640         _chrony    6u  IPv6 149538      0t0  UDP ip6-localhost:323
root@containerd:~#

4.12. 查找使用特定文件的进程

命令：lsof <file>

举例如下：

root@containerd:~#
root@containerd:~# lsof  /var/log/kern.log
COMMAND     PID   USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
rsyslogd 116033 syslog    8w   REG  253,0   175767 2527502 /var/log/kern.log
root@containerd:~#
root@containerd:~#

4.13. 查找使用特定目录的进程

命令：lsof +D <dir>

举例如下：

root@containerd:~# lsof +D /var/log
COMMAND      PID   USER   FD   TYPE DEVICE SIZE/OFF      NODE NAME
unattende    903   root    3w   REG  253,0     1017 202394112 /var/log/unattended-upgrades/unattended-upgrades-shutdown.log
systemd-j  90949   root  mem    REG  253,0  8388608     22395 /var/log/journal/d552e0edef0141cc9cc9130e99db60ad/system.journal
systemd-j  90949   root   34u   REG  253,0  8388608     22395 /var/log/journal/d552e0edef0141cc9cc9130e99db60ad/system.journal
atop       93576   root    5u   REG  253,0  1839935    310270 /var/log/atop/atop_20240402
rsyslogd  116033 syslog    7w   REG  253,0   197363   2527500 /var/log/syslog
rsyslogd  116033 syslog    8w   REG  253,0   175767   2527502 /var/log/kern.log
rsyslogd  116033 syslog    9w   REG  253,0     2287    208040 /var/log/auth.log
root@containerd:~#

5. 解读lsof的输出 📖

COMMAND：打开文件的进程名，通常是启动进程的命令名。
PID：每个运行中的进程在系统中都有一个唯一的标识符，即PID
USER：进程所有者的用户名。
FD：文件描述符，唯一标识打开的文件。
TYPE：文件类型（如：DIR, REG）。
DEVICE：显示文件所在的设备编号，可能是以“主设备号，次设备号”的方式，譬如255,0
SIZE/OFF：文件的大小或偏移量。
- 对于常规文件，显示文件的大小。
- 对于某些特殊文件，这可能是偏移量。
NODE：文件的inode号码。
NAME：文件名或网络连接的详细信息。

5.1. FD（文件描述符）

文件描述符是一个非负整数，它是UNIX和类UNIX操作系统（如Linux）用来访问文件或输入/输出资源的抽象标识。在lsof的输出中，FD列显示了被进程打开的文件的文件描述符，它可以有以下几种形式：

数字：如0、1、2分别代表标准输入（STDIN）、标准输出（STDOUT）、标准错误输出（STDERR）。
cwd：代表当前工作目录。
rtd：代表根目录。
txt：表示程序代码。
mem：表示内存映射文件。
数字w：数字后跟w，如1w，表示文件是以写入模式打开的。
数字u：数字后跟u，如2u，表示文件是以读写模式打开的。
数字r：数字后跟r，表示文件是以只读模式打开的。

5.2. TYPE（文件类型）

TYPE列提供了有关打开文件的类型信息，这可以帮助你了解文件是如何被使用的。TYPE列的值可能包括但不限于：

REG：常规文件。表示普通的数据文件。
DIR：目录。
CHR：字符设备文件，如终端、打印机等。
BLK：块设备文件，如硬盘、光驱等。
FIFO：命名管道，用于进程间通信。
SOCK：Socket文件，用于网络通信。
IPv4和IPv6：分别表示IPv4和IPv6的网络文件。
unix：表示Unix域Socket文件。

在lsof命令的输出结果中，NAME列是非常重要的一部分，它提供了被打开文件的名称或网络连接的详细信息。根据打开的资源类型，NAME列的内容会有所不同。以下是NAME列可能包含的信息类型及其含义的详细解释：

5.3. NAME

在lsof命令的输出结果中，NAME列是非常重要的一部分，它提供了被打开文件的名称或网络连接的详细信息。根据打开的资源类型，NAME列的内容会有所不同。以下是NAME列可能包含的信息类型及其含义的详细解释：

5.3.1. 文件系统中的文件

普通文件和目录：对于普通文件和目录，NAME列显示的是文件或目录的完整路径，如/home/user/document.txt或/etc。

5.3.2. 特殊文件

设备文件：如果是字符设备或块设备文件，NAME列会显示设备的文件路径，如/dev/tty（终端设备）或/dev/sda1（硬盘分区）。
管道（Pipe）：命名管道通常显示为pipe:[inode]，其中[inode]是管道文件的inode编号。
Socket：Socket文件会显示协议类型和网络连接的详细信息。例如，TCP、UDP连接会显示本地和远程的地址及端口号，格式类似于[local address]:[local port]->[remote address]:[remote port]（对于TCP）或[local address]:[local port]（对于UDP）。Unix域Socket则显示为[类型]:[inode]，类型通常是STREAM、DGRAM等。

5.3.3. 网络连接

IPv4/IPv6连接：对于网络Socket，NAME列提供了连接的详细信息，包括协议类型（如TCP或UDP）、本地地址和端口号、远程地址和端口号（如果可用），以及连接的状态（如LISTEN、ESTABLISHED）。格式示例：TCP localhost:ssh->192.168.1.5:53722 (ESTABLISHED)。

5.3.4. 内存映射文件

内存映射区域：如果文件被映射到进程的内存空间（如共享库或执行文件的代码段），NAME列通常会显示文件的路径。对于匿名映射（不直接关联到文件系统中的文件），可能显示为[ anon ]或特定的标记（如[ stack ]表示进程的栈空间）。

5.3.5. 示例

让我们通过一些示例来进一步理解NAME列的含义：

/usr/lib/x86_64-linux-gnu/libc-2.31.so：表示libc库文件被打开。
TCP 127.0.0.1:4567->127.0.0.1:80 (ESTABLISHED)：表示有一个TCP连接从本地的4567端口连接到本地的80端口，并且该连接已经建立。
pipe:[45678]：表示一个命名管道被打开，其inode编号为45678。
anon_inode:[eventfd]：表示一个匿名inode关联的特殊文件被打开，通常用于事件通知。

理解lsof输出中的NAME列对于诊断系统问题、监控资源使用情况和性能优化非常有帮助。它提供了关于文件和网络资源使用情况的直观视图，帮助你快速定位问题。

5.4. 示例

让我们通过一个具体的lsof命令执行结果的例子，来深入理解每一列的含义以及每行代表的信息。这里假设我们执行了一个列出特定进程打开的文件的lsof命令。

COMMAND   PID   USER   FD     TYPE DEVICE SIZE/OFF   NODE NAME
sshd      1234  root   cwd    DIR  253,0  4096      2    /
sshd      1234  root   txt    REG  253,0  881736    201  /usr/sbin/sshd
sshd      1234  root   0u     IPv4 28991 0t0       TCP   *:ssh (LISTEN)

解释如下：

第一行（sshd进程的当前工作目录）
- COMMAND: sshd，表示执行此操作的进程是SSH守护进程。
- PID: 1234，进程ID。
- USER: root，表示运行此进程的用户是root。
- FD: cwd，表示当前工作目录。
- TYPE: DIR，指示打开的是一个目录。
- DEVICE: 253,0，表示设备号。
- SIZE/OFF: 4096，目录的大小。
- NODE: 2，文件系统中的inode编号。
- NAME: /，当前工作目录的路径，根目录。
第二行（sshd进程的可执行文件）
- COMMAND: 同上，sshd。
- PID, USER, DEVICE: 同上。
- FD: txt，表示此文件是程序的文本（代码和数据）。
- TYPE: REG，常规文件。
- SIZE/OFF: 881736，文件大小。
- NODE: 201，文件的inode编号。
- NAME: /usr/sbin/sshd，sshd守护进程的可执行文件路径。
第三行（sshd进程监听的Socket）
- COMMAND: 同上。
- PID, USER: 同上。
- FD: 0u，数字表示文件描述符，u表示以读写模式打开。
- TYPE: IPv4，表示这是一个IPv4网络连接。
- DEVICE: 28991，Socket的内部标识。
- SIZE/OFF: 0t0，对于Socket而言，此列通常不适用。
- NODE: 不适用于网络连接。
- NAME: *:ssh (LISTEN)，表示这个进程正在所有接口的22端口（SSH）上监听入站连接。

6. 使用lsof的注意事项 🚨

权限：运行lsof可能需要超级用户权限，特别是当你尝试查看其他用户进程打开的文件时。
性能：lsof可能需要一些时间来生成报告，特别是在系统打开了大量文件的情况下。使用-n和-P参数可以减少DNS和服务名解析的开销，加快命令执行速度。
输出过滤：lsof的输出可能非常庞大，可以使用管道（|）和grep来过滤感兴趣的信息。
安全性：在多用户环境中使用lsof时要注意隐私和安全性，不要泄露敏感信息。

7. 总结 🌈

lsof是Linux系统管理员和开发人员手中的一把利剑，帮助他们诊断问题、监控系统状态。掌握lsof的使用方法和它的参数对于深入理解系统的运行机制至关重要。通过实际的命令使用实例和对输出的解读，我们可以更好地管理系统资源，优化应用性能，甚至在复杂的故障排除过程中找到问题的根源。

lsof不仅仅是一个单一的工具，它是一个功能强大的工具箱，通过其提供的丰富参数和选项，几乎可以洞察Linux操作系统中所有与文件相关的活动。无论是简单地查看哪个进程占用了某个端口，还是深入分析系统中的网络连接和文件使用情况，lsof都能提供必要的帮助。

1. lsof的起源与演变 🌟

2. 底层原理 🔍

3. 参数详解 📚

4. 常见用法示例 🛠

4.1. 查看所有网络连接

4.2. 查看特定用户打开的文件

4.3. 列出某个程序打开的文件

4.4. 查看指定进程打开的文件

4.5. 查找监听特定端口的进程

4.6. 查看所有处于监听状态的TCP连接

4.7. 查看所有处于建立好连接的TCP

4.8. 查看指定进程监听的端口

4.9. 查看指定命令监听的端口

4.10. 查看所有TCP连接

4.11. 查看所有UDP连接

4.12. 查找使用特定文件的进程

4.13. 查找使用特定目录的进程

5. 解读lsof的输出 📖

5.1. FD（文件描述符）

5.2. TYPE（文件类型）

5.3. NAME

5.3.1. 文件系统中的文件

5.3.2. 特殊文件

5.3.3. 网络连接

5.3.4. 内存映射文件

5.3.5. 示例

5.4. 示例

6. 使用lsof的注意事项 🚨

7. 总结 🌈

相关文章：