lsof命令详解

参考博客:https://www.jianshu.com/p/a3aa6b01b2e1

• 安装
  • yum install lsof -y
• lsof，当你给他传递选项时，默认行为是对结果进行“或”运算。

lsof基本

• 默认：没有选项，lsof列出活跃进程的所有打开文件。
• 组合：将选项组合到一起。
• -a：结果进行“与”运算
• -l：在输出显示用户id而不是用户名
• -h：获取帮助
• -t：仅获取进程ID
• -U：获取UNIX套接口地址
• -F：格式化输出，用于其他命令。

-i显示所有连接

[root@gumi ~]# lsof -i
COMMAND   PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
chronyd   759 chrony    5u  IPv4  17708      0t0  UDP localhost:323 
chronyd   759 chrony    6u  IPv6  17709      0t0  UDP localhost:323 
dhclient  949   root    6u  IPv4  20170      0t0  UDP *:bootpc 
sshd     1138   root    3u  IPv4  21256      0t0  TCP *:ssh (LISTEN)
sshd     1138   root    4u  IPv6  21265      0t0  TCP *:ssh (LISTEN)
master   1322   root   13u  IPv4  21665      0t0  TCP localhost:smtp (LISTEN)
master   1322   root   14u  IPv6  21666      0t0  TCP localhost:smtp (LISTEN)
sshd     1680   root    3u  IPv4  22449      0t0  TCP gumi:ssh->192.168.1.106:616

使用-i 6仅获取IPv6流量

仅显示TCP连接

[root@gumi ~]# lsof -iTCP
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    1138 root    3u  IPv4  21256      0t0  TCP *:ssh (LISTEN)
sshd    1138 root    4u  IPv6  21265      0t0  TCP *:ssh (LISTEN)
master  1322 root   13u  IPv4  21665      0t0  TCP localhost:smtp (LISTEN)
master  1322 root   14u  IPv6  21666      0t0  TCP localhost:smtp (LISTEN)
sshd    1680 root    3u  IPv4  22449      0t0  TCP gumi:ssh->192.168.1.106:61643 (ESTABLISHED)

使用-i port来显示与指定端口相关的网络信息

[root@gumi ~]# lsof -i:22
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    1138 root    3u  IPv4  21256      0t0  TCP *:ssh (LISTEN)
sshd    1138 root    4u  IPv6  21265      0t0  TCP *:ssh (LISTEN)
sshd    1680 root    3u  IPv4  22449      0t0  TCP gumi:ssh->192.168.1.106:61643 (ESTABLISHED)

使用@host来显示到指定主机的连接

[root@gumi ~]# lsof -i@192.168.1.101

使用@host:port显示基于主机与端口的连接

找出正处于监听的端口

[root@gumi ~]# lsof -i -sTCP:LISTEN
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    1138 root    3u  IPv4  21256      0t0  TCP *:ssh (LISTEN)
sshd    1138 root    4u  IPv6  21265      0t0  TCP *:ssh (LISTEN)
master  1322 root   13u  IPv4  21665      0t0  TCP localhost:smtp (LISTEN)
master  1322 root   14u  IPv6  21666      0t0  TCP localhost:smtp (LISTEN)

• 也可以使用lsof -i | grep LISTEN 来完成

找出已建立的连接

• 同上，LISTEN替换为ESTABLISHED

使用-u显示指定的用户打开了什么

[root@gumi ~]# lsof -u gumi

杀死指定用户所有运行的东西

[root@gumi ~]# kill -9 ‘lsof -t -u gumi‘

命令和进程

可以查看到指定的程序或进程由什么启动

使用-c查看指定的命令正在使用的文件和网络连接

[root@gumi ~]# lsof -c bash
COMMAND  PID USER   FD   TYPE DEVICE  SIZE/OFF     NODE NAME

使用-p查看指定进程ID已打开的内容

[root@gumi ~]# lsof -p 20
COMMAND PID USER   FD      TYPE DEVICE SIZE/OFF NODE NAME
bioset   20 root  cwd       DIR  253,0      224   64 /
bioset   20 root  rtd       DIR  253,0      224   64 /
bioset   20 root  txt   unknown                      /proc/20/exe

• -t选项只返回pid

文件和目录

可以查看到系统上所有正与其交互的资源——包括用户、进程等。

显示与指定目录交互的所有一切

$ lsof /var/log/messages/

高级用法

显示gumi连接到1.1.1.1所做的一切

$ lsof -u gumi -i @1.1.1.1

显示所有打开的连接数小于1的文件

$ lsof +L1

总结lsof的用法:

lsof abc.txt 显示开启文件abc.txt的进程

lsof -i :22 知道22端口现在运行什么程序

lsof -c abc 显示abc进程现在打开的文件

lsof -g gid 显示归属gid的进程情况

lsof +d /usr/local/ 显示目录下被进程开启的文件

lsof +D /usr/local/ 同上，但是会搜索目录下的目录，时间较长

lsof -d 4 显示使用fd为4的进程 www.2cto.com

lsof -i 用以显示符合条件的进程情况

语法: lsof -i[46] [protocol][@hostname|hostaddr][:service|port]

46 --> IPv4 or IPv6

protocol --> TCP or UDP

hostname --> Internet host name

hostaddr --> IPv4位置

service --> /etc/service中的 service name (可以不只一个)

port --> 端口号 (可以不只一个)

例子: TCP:25 - TCP and port 25

@1.2.3.4 - Internet IPv4 host address 1.2.3.4

tcp@ohaha.ks.edu.tw:ftp - TCP protocol hosthaha.ks.edu.tw service name:ftp

lsof -n 不将IP转换为hostname，缺省是不加上-n参数

例子: lsof -i tcp@ohaha.ks.edu.tw:ftp -n

lsof -p 12 看进程号为12的进程打开了哪些文件

lsof +|-r [t] 控制lsof不断重复执行，缺省是15s刷新

-r，lsof会永远不断的执行，直到收到中断信号

+r，lsof会一直执行，直到没有档案被显示

例子：不断查看目前ftp连接的情况：lsof -i tcp@ohaha.ks.edu.tw:ftp -r

lsof -s 列出打开文件的大小，如果没有大小，则留下空白

lsof -u username 以UID，列出打开的文件 [www.2cto.com

lsof命令详解

原文：https://www.cnblogs.com/Gumi-o/p/14492393.html