一、简介

lsof（list open files）是一个列出当前系统打开文件的工具。

它主要用来获取被进程打开文件的信息。

在 Linux 中，一切皆文件，lsof 命令可以查看所有已经打开了的文件，比如：普通文件，目录，特殊的块文件，管道，socket 套接字，设备，Unix 域套接字等等。同时，它还可以结合 grep 以及 ps 命令进行更多的高级搜索

打开的文件：
在Linux中，一切都是文件，当进程打开现有文件或创建新文件时，内核向进程返回一个文件描述符，文件描述符就是内核为了高效管理已被打开的文件所创建的索引，用来指向被打开的文件，所有执行 I/O 操作的系统调用都会通过文件描述符。因此，打开的文件指的是进程打开并使用的文件。

二、lsof语法

2.1 基本格式

lsof [OPTIONS] [--] [NAMES]

在没有任何选项的情况下，lsof 列出所有属于活动进程的打开文件（一般会很多、很多、很多）。

2.2 选项

lsof 命令有很多选项，下面是一些常用的选项（完整的字节看手册）：

• -a：表示 AND，用于指定多个条件。
• -c <command>：列出指定命令所打开的文件。
• -d <fd>：列出指定文件描述符所打开的文件。
• -g <gid>：列出指定组 ID 所属的进程所打开的文件。
• -i：列出所有打开了网络套接字（TCP 和 UDP）的进程。
• -n：禁止解析 IP 地址和端口号。
• -p <pid>：列出指定进程 ID 所打开的文件。
• -u <username>：列出指定用户所属的进程所打开的文件。

2.3 输出字段解释

使用lsof命令后输出一般有9个字段（9列）：

COMMAND：进程的名称
PID：进程标识符
USER：进程所有者
FD：文件描述符。主要有：cwd：应用程序当前工作目录，这是该应用程序启动的目录，除非它本身对这个目录进行更改txt：该类型的文件是程序代码，如应用程序二进制文件本身或共享库，如上列表中显示的 /sbin/init 程序lnn：库引用（AIX）err：FD 信息错误jld：监狱目录（FreeBSD）ltx：共享库文本（代码和数据）mxx：十六进制内存映射类型号 xxm86：DOS合并映射文件mem：内存映射文件mmap：内存映射设备pd：父目录rtd：根目录tr：内核跟踪文件（OpenBSD）v86：VP/ix 映射文件0：标准输出1：标准输入2：标准错误文件描述符后一般还跟着文件状态模式：r：只读模式w：写入模式u：读写模式空格：文件的状态模式为 unknow，且没有锁定-：文件的状态模式为 unknow，且被锁定同时在文件状态模式后面，还跟着相关的锁：N：对于未知类型的 Solaris NFS 锁r：文件部分的读锁R：整个文件的读锁w：文件的部分写锁W：整个文件的写锁u：任何长度的读写锁U：用于未知类型的锁x：用于部分文件上的 SCO OpenServer Xenix 锁X：用于整个文件上的 SCO OpenServer Xenix 锁space：无锁TYPE：文件类型。常见的文件类型有：REG：普通文件DIR：表示目录CHR：表示字符类型BLK：块设备类型UNIX：UNIX 域套接字FIFO：先进先出队列IPv4（6）：IPv4（6） 套接字
DEVICE：磁盘名称
SIZE：文件的大小或文件偏移量（以字节为单位）
NODE：索引节点
NAME：打开文件的确切名称

例如：

root@CQUPTLEI:~# lsof -i udp
COMMAND       PID            USER   FD   TYPE   DEVICE SIZE/OFF NODE NAME
systemd         1            root   37u  IPv4     1001      0t0  UDP *:sunrpc 
systemd         1            root   39u  IPv6     1007      0t0  UDP *:sunrpc 
rpcbind       696            _rpc    5u  IPv4     1001      0t0  UDP *:sunrpc 
rpcbind       696            _rpc    7u  IPv6     1007      0t0  UDP *:sunrpc 
systemd-n     801 systemd-network   19u  IPv4    22416      0t0  UDP CQUPTLEI:bootpc 
systemd-r     803 systemd-resolve   12u  IPv4    21343      0t0  UDP localhost:domain 
avahi-dae     820           avahi   12u  IPv4    24274      0t0  UDP *:mdns 
avahi-dae     820           avahi   13u  IPv6    24275      0t0  UDP *:mdns 

三、常用 lsof 操作

3.1 查看某文件的相关进程

root@CQUPTLEI:~# lsof /bin/bash
COMMAND       PID USER  FD   TYPE DEVICE SIZE/OFF   NODE NAME
mysqld_sa    1188 root txt    REG  252,2  1183448 132810 /usr/bin/bash
sh           3495 root txt    REG  252,2  1183448 132810 /usr/bin/bash
bash      1520268 root txt    REG  252,2  1183448 132810 /usr/bin/bash
bash      1520271 root txt    REG  252,2  1183448 132810 /usr/bin/bash
bash      1666912 root txt    REG  252,2  1183448 132810 /usr/bin/bash

3.2 网络相关：-i

-i 选项用于列出所有打开了网络套接字（TCP 和 UDP）的进程。

常用的用法：

• -i：列出所有打开了网络套接字（TCP 和 UDP）的进程。
• -i tcp：列出所有打开了 TCP 网络连接的进程。
• -i :<port>：列出某个端口被哪些进程打开了。
• -i @<ip_address>：列出某个 IP 地址被哪些进程打开了。
• -u <username> -i：列出某个用户打开了哪些网络连接。

例：

root@CQUPTLEI:~# lsof -i :443
COMMAND PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
nginx   978 root   10u  IPv4  26143      0t0  TCP *:https (LISTEN)
nginx   983  www   10u  IPv4  26143      0t0  TCP *:https (LISTEN)
nginx   984  www   10u  IPv4  26143      0t0  TCP *:https (LISTEN)

3.3 指定进程号打开的文件：-p

-p 选项用于列出指定进程 ID 所打开的文件。

root@CQUPTLEI:~# lsof -p 1
COMMAND PID USER   FD      TYPE             DEVICE SIZE/OFF       NODE NAME
systemd   1 root  cwd       DIR              252,2     4096          2 /
systemd   1 root  rtd       DIR              252,2     4096          2 /
systemd   1 root  txt       REG              252,2  1620224     136385 /usr/lib/systemd/systemd
systemd   1 root  mem       REG              252,2  1369384     134892 /usr/lib/x86_64-linux-gnu/libm-2.31.so
systemd   1 root  mem       REG              252,2   178528     136839 /usr/lib/x86_64-linux-gnu/libudev.so.1.6.17
systemd   1 root  mem       REG              252,2  1575112     138611 /usr/lib/x86_64-linux-gnu/libunistring.so.2.1.0

3.4 指定用户打开的文件：-u

-u 选项用于列出指定用户所属的进程所打开的文件。

root@CQUPTLEI:~# ls /home
lighthouse  ubuntu  www
root@CQUPTLEI:~# lsof -u www
lsof: WARNING: can't stat() fuse.gvfsd-fuse file system /run/user/134/gvfsOutput information may be incomplete.
COMMAND     PID USER   FD      TYPE             DEVICE  SIZE/OFF   NODE NAME
nginx       983  www  cwd       DIR              252,2      4096      2 /
nginx       983  www  rtd       DIR              252,2      4096      2 /
nginx       983  www  txt       REG              252,2   5060432 912450 /www/server/nginx/sbin/nginx
nginx       983  www  mem       REG              252,2    239896 131210 /usr/lib/x86_64-linux-gnu/libnss_systemd.so.2
nginx       983  www  DEL       REG                0,1            26134 /dev/zero
nginx       983  www  DEL       REG                0,1            26133 /dev/zero
nginx       983  www  DEL       REG                0,1            26132 /dev/zero
nginx       983  www  DEL       REG                0,1            26131 /dev/zero

3.5 某进程打开的文件：-c

-c 选项用于列出指定命令所打开的文件，不需要进程的完整名称，可以使用进程名的一部分。

root@CQUPTLEI:~# lsof -c alist
COMMAND PID USER   FD      TYPE             DEVICE SIZE/OFF    NODE NAME
alist   941 root  cwd       DIR              252,2     4096 1041395 /opt/alist
alist   941 root  rtd       DIR              252,2     4096       2 /
alist   941 root  txt       REG              252,2 43084616 1041396 /opt/alist/alist
alist   941 root  mem-r     REG              252,2    32768 1041407 /opt/alist/data/data.db-shm
alist   941 root    0r      CHR                1,3      0t0       6 /dev/null
alist   941 root    1u     unix 0xffffa05a31b67000      0t0   26720 type=STREAM
alist   941 root    2u     unix 0xffffa05a31b67000      0t0   26720 type=STREAM

3.6 复合查询

（1）同时满足多个条件：-a

用户www打开的tcp 443端口，逻辑与（and）

root@CQUPTLEI:~# lsof -a -u   www -i tcp:443
COMMAND PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
nginx   983  www   10u  IPv4  26143      0t0  TCP *:https (LISTEN)
nginx   984  www   10u  IPv4  26143      0t0  TCP *:https (LISTEN)

（2）满足每个条件

不使用-a时，多个选项之间的关系是或（or）

root@CQUPTLEI:~# lsof -c ssh -c alist

输出所有名称含有ssh、alist的进程打开的文件。

四、进阶用法

4.1用文本处理命令（grep\awk\sed）结合使用

例： 与grep命令结合使用

打印服务器所有tcp连接中，文件描述符为10的连接：

root@CQUPTLEI:~# lsof -i tcp | grep "10u"
alist         941            root   10u  IPv6    31063      0t0  TCP *:5244 (LISTEN)
nginx         978            root   10u  IPv4    26143      0t0  TCP *:https (LISTEN)
nginx         983             www   10u  IPv4    26143      0t0  TCP *:https (LISTEN)
nginx         984             www   10u  IPv4    26143      0t0  TCP *:https (LISTEN)
BT-Panel     2638            root   10u  IPv4 23149843      0t0  TCP CQUPTLEI:8888->internettl.org:52156 (ESTABLISHED)

|为管道符，表示将左边的输出作为右边的输入

例： 与awk命令结合使用

对Linux的dns服务器（named）打开的tcp连接，按照描述符升序打印

lsof -i tcp -n| awk '/named/{print $1,$2,$3,$4,$5,$6,$6,$8,$9}' | sort -n -k 4

root@CQUPTLEI:~# lsof -i tcp -n| awk '/named/{print $1,$2,$3,$4,$5,$6,$6,$8,$9}' | sort -n -k 4
named 945 bind 22u IPv4 29095 29095 TCP 127.0.0.1:953
named 945 bind 26u IPv4 26405 26405 TCP 127.0.0.1:domain
named 945 bind 27u IPv4 26405 26405 TCP 127.0.0.1:domain
named 945 bind 28u IPv4 26405 26405 TCP 127.0.0.1:domain
named 945 bind 32u IPv4 28479 28479 TCP 10.0.8.5:domain
named 945 bind 33u IPv4 28479 28479 TCP 10.0.8.5:domain
named 945 bind 34u IPv4 28479 28479 TCP 10.0.8.5:domain
named 945 bind 37u IPv6 26406 26406 TCP [::1]:domain
named 945 bind 38u IPv6 26406 26406 TCP [::1]:domain
named 945 bind 39u IPv6 26406 26406 TCP [::1]:domain
named 945 bind 42u IPv6 28513 28513 TCP [fe80::5054:ff:fe4b:ad85]:domain
named 945 bind 43u IPv6 28513 28513 TCP [fe80::5054:ff:fe4b:ad85]:domain
named 945 bind 44u IPv6 28513 28513 TCP [fe80::5054:ff:fe4b:ad85]:domain
named 945 bind 45u IPv6 29096 29096 TCP [::1]:953
named 945 bind 48u IPv4 36766 36766 TCP 172.17.0.1:domain
named 945 bind 49u IPv4 36766 36766 TCP 172.17.0.1:domain
named 945 bind 50u IPv4 36766 36766 TCP 172.17.0.1:domain

sort -n -k 4：对结果排序，按照第四列数字升序

4.2 更多实用选项

lsof还有很多选项，比如：对文件夹递归搜索

-?, -h 显示帮助信息
-a
参数被视为逻辑与 AND，会影响全部的参数
-A A在配置了 AFS 分布式网络文件系统的系统上可用，其 AFS 内核代码是通过动态模块实现的。通过 A 指定备用名称列表文件，在该文件中可以找到动态模块的内核地址
-b避免 lsof 因调用可能阻塞的内核函数而产生阻塞，比如 lstat(2)、readlink(2) 和 stat(2) 等内核函数
-c C显示出以字符或字符串 C 开头的命令程序开启的文件，如 lsof -c init。如果 C 以斜杠 / 开头和结尾，则斜杠之间的字符被解释为正则表达式。该选项可多次指定
+c W指定 COMMAND 列的宽度，单位字符。默认为 9
-C禁用从内核的名称缓存中报告任何路径名
-D D指导 lsof 使用设备缓存文件。该选项的使用有时受到限制。-D 必须后面跟着一个函数字母，函数字母后面可以有一个路径名称。lsof 识别以下功能字母：?	报告设备缓存文件路径b	构建设备缓存文件i	忽略设备缓存文件r	读取设备缓存文件u	读取并更新设备缓存文件
+D D递归搜索目录 D。如显示在 /usr/local 及其子目录下被程序开启的文件：lsof +D /usr/local
+d D非递归搜索目录 D。如显示在 /usr/local 下被程序开启的文件：lsof +d /usr/local
-d FD指定文件描述符列表，可以采用逗号分隔，也可以指定范围。比如 1,2,3 或 1-3。如果前面包含尖号，表示排除。如显示 FD 为 4 的进程：lsof -d 4
+|-e S豁免（exempt）路径名称为 S 的文件系统不受可能阻塞的内核函数调用的影响。+e 选项豁免 stat(2)、lstat(2) 和大多数 readlink(2) 内核函数调用。-e 选项只能豁免 stat(2) 和 lstat(2) 内核函数调用
+|-E+E 指定使用端点信息显示 Linux 管道、Linux UNIX 套接字和 Linux 伪终端文件，并显示端点的文件。-E 则不显示端点的文件
-F LIST指定字符列表 LIST，选择输出给另一程序处理的字段，各字段对应的字符见下文
+|-f [cfgGn]f 本身澄清了路径名参数的解释方式。当后面跟着 c、f、g、G 或 n 时，它指定要启用（+）或抑制（-）内核文件结构信息。c 文件结构使用计数（not Linux）f 文件结构地址（not Linux）g 文件标志缩写（Linux 2.6.22 及更高版本）G 十六进制文件标志（Linux 2.6.22 及更高版本）n 文件结构节点地址（not Linux）
-g [PGID]选择或排除属于指定进程组的进程打开的文件。 进程组 ID 使用逗号分隔，如果 PGID 前面包含尖号，表示排除。若没有指定 PGID，则显示全部。如显示 PGID 为 6 和 7 的进程：lsof -g6,7
-i [I]选择其 Internet 地址与 -i 中指定的地址匹配的文件，若没有相关地址被指定，则监听全部。用法： lsof -i [46][protocol][@hostname|hostaddr][:serivce|port]说明：4 6 分别表示 IPv4 和 IPv6   protocol： TCP or UDP   hostname：主机名hostaddr：IPv4 或 IPv6 地址service：主机提供的服务的名称，即 /etc/services 中的 service nameport：端口号
-K在支持任务（线程）报告方式的系统上输出进程的任务（线程）列表
-k K指定内核名称列表文件，代替 /vmunix、/mach 等
-l禁止将 user ID 转换为登录的名称，默认是登录名称
+|-L [L]+ 或 - 表示开启或关闭显示文件连接数，如果只有单纯的 +L，后面没有任何数字，则表示显示全部，如果后面有数字，只有文件连接数少于该数字的会被列出
+|-m M-m 指定一个内核内存文件 M ，代替 /dev/kmem 或 /dev/mem。+m 将装载补充文件写入标准输出文件
+|-M启用或禁用报告本地 TCP、UDP 和 UDPLITE 端口的端口映射器注册
-n不将 IP 地址转换为主机名
-N显示 NFS 文件
-o始终显示文件偏移量。它导致 SIZE/OFF 输出列标题更改为 OFFSET
-o O指定在文件偏移量的 0t 之后要打印的小数位数
-O指示 lsof 避免被某些内核操作阻塞。即在分叉的子进程中执行它们。虽然使用此选项将减少 lsof 启动开销，但也可能导致 lsof 在内核不响应函数时挂起。谨慎使用此选项
-P禁止将网络文件的端口号转换为端口名
-p S排除或选择进程的文件列表，进程 ID 列表使用逗号分隔，如 123 或 123,^456。尖号表示排除指定 PID
-R使用列 PPID 列出父进程的 PID
+|-r [T[mFMT]]控制 lsof 不断重复执行，间隔 T 秒，默认为 15s。-r 永远不断地执行，直到收到中断讯号（ctrl+ c），+r 一直执行，直到没有文件被显示。可选的 mFMT 参数指定标记线的格式，格式 FMT 遵循 C 语言标准库函数 strftime(3) 的规范
-S [T]指定内核函数 lstat(2)、readlink(2) 和 stat(2) 的可选超时秒值，否则可能会死锁。t 的最小值是 2；默认值是 15
-s [P:S]列出文件的大小，若该文件没有大小，则留下空白。它导致 SIZE/OFF 输出列标题更改为 SIZE。P 表示协议名称 TCP  or  UDP，S 表示逗号分隔的协议状态
-T [T]-T 没有参数则禁用 TCP/TPI 信息报告。跟如下参数，则显示指定 TCP/TPI 信息：f 选择报告套接字选项，状态和值，以及 TCP标志和值q 选择队列长度s 选择连接状态w 选择窗口大小
-t生成只有进程标识符而没有标题的简洁输出，这样输出可以通过管道传递给 kill(1) 杀死
-U选择 UNIX 域套接字文件的列表
-u USERS选择登录名或用户 ID 位于逗号分隔集 USERS 中的用户的文件列表。如 root 或 548,root”，如果用户名或用户 ID 前有尖号 ^，表示排除
-V指示被要求列出但找不到的项
-v显示版本信息
+|-w启用（＋）或禁用（－）警告消息
-XLinux 下跳过所有打开的 TCP、UDP 和 UDPLITE IPv4 和 IPv6 文件的信息报告
-x [fl]一般与选项 +d 和 +D 选项，指示搜索时是否跨文件系统和符号链接。-x 不跟任何参数时，表示跨文件系统和符号链接
-Z [Z]指定如何处理 SELinux 安全上下文。当在运行的 Linux 内核中禁用SELinux时，Z 字段将被抑制输出。-Z 选项不跟参数，如 -Z -，安全上下文将列在 SECURITY-CONTEXT 列中输出
--双减号表示选项结束
NAMES列出指定文件，符号链接在使用前将被解析