官方描述

        一个打开的文件可以是一个常规文件、一个目录、一个块特殊文件、一个字符特殊文件、一个执行文本引用、一个库、一个流或一个网络文件(Internet套接字、NFS文件或UNIX域套接字)。 可以通过路径选择文件系统中的某个文件，也可以选择文件系统中的所有文件。
        lsof将产生可由其他程序解析的输出，而不是格式化的显示。 有关更多信息，请参阅-F、选项描述和OUTPUT FOR OTHER PROGRAMS部分。
        除了生成单个输出列表外，lsof还将以重复模式运行。 在重复模式下，它将产生输出，延迟，然后重复输出操作，直到用中断或退出信号停止。 更多信息请参见+|-r [t[m]]选项说明。

目录

1. 语法

1.1. 常用参数

2. 列名解释

3. 使用技巧

4. 指定查询

4.1. 指定某个command

4.2. 指定某个用户

4.3. 指定某个PID

4.4. 指定某个目录下打开的文件

4.5. 指定FD类型

5. 查询网络类

6. 查询删除文件

6.1. 恢复误删文件

6.2. 删除物理文件后空间未释放

6.3. 检查句柄

1. 语法

lsof  [option]  [command]

1.1. 常用参数

-c[cmd]  ：指定command列（多个command需要使用多个 -c）
-u[user] ：指定用户（多个用户以逗号分隔）
-p[pid]  ：指定PID （多个PID以逗号分隔）
+d[path] ：指定目录文件下存在的进程
+D[path] ：指定目录文件下存在的进程（递归），多个目录下以空格分隔
+c[num]  ：指定命令宽度
-d[FD]   ：指定FD（多个类型以逗号分隔）
[option]^：取反，不指定xxx# -u ^u1,^u2：输出用户u1、u2以外的其他用户信息

-a：后面的选项必须都满足（and）# -a -u [user] -p [pid] -c [cmd]：指定的选项必须都满足
-i：仅显示 ipv4/ipv6 的列表# -i 4：仅显示ipv4信息# -i 6：仅显示ipv6信息# -i tcp：仅显示ipv4/ipv6中tcp信息# -i udp：仅显示ipv4/ipv6中udp信息# -i :1-100：列出1-100所有端口信息
-K：仅显示含有TID的列表
-t：仅显示PID这一列
-T：禁用TCP/TPI信息
-X：禁用TCP/UDP文件

-n：无主机名（快速查找）
-P：无端口名称
-O：没有开销(有风险)

-l：列出UID编号
-o：列出文件偏移量
-s：列表文件大小
-R：加入一列PPID
-U：选择Unix套接字
-N：选择NFS文件   
+m[m]：使用|创建挂载补充

-?：帮助
-h：帮助
-v：列出版本信息 
-V：详细的搜索

2. 列名解释

（示例）

COMMAND    PID  TID    USER   FD      TYPE             DEVICE  SIZE/OFF      NODE NAME
dconf     2900 2903      yt  DEL       REG               0,40               40904 /run/user/1001/dconf/user
dconf     2900 2903      yt  mem       REG                8,3    143781   3291432 /usr/share/glib-2.0/schemas/gschemas.compiled
dconf     2900 2903      yt  mem       REG                8,3    107020   1104620 /usr/share/locale/zh_CN/LC_MESSAGES/glib20.mo
dconf     2900 2903      yt  mem       REG                8,3     81139    163028 /usr/share/locale/zh_CN/LC_MESSAGES/libc.mo
dconf     2900 2903      yt  mem       REG                8,3     85324   2480242 /usr/share/locale/zh_CN/LC_MESSAGES/gtk30.mo
dconf     2900 2903      yt  mem       REG                8,3      9533   1104668 /usr/share/locale/zh_CN/LC_MESSAGES/atk10.mo
dconf     2900 2903      yt  mem       REG                8,3     26970  33738983 /usr/lib64/gconv/gconv-modules.cache

 (解释说明）

COMMAND ：包含与进程关联的UNIX命令名的前9个字符。如果为 +c w 选项指定了非零w值，则该列包含与进程关联的UNIX命令名的前w个字符，直到UNIX提供给lsof的字符限制为止。
PID     ：进程PID
TID     ：如果方言支持任务(线程)报告，并且列出了任务(线程)，则为任务(线程)标识号。
USER    ：用户名
TYPE    ：是与文件相关联的节点类型-例如，GDIR, GREG, VDIR, VREG等
DEVICE  ：包含设备号，以逗号分隔，用于字符特殊、块特殊、常规、目录或NFs文件
SIZE/OFF：文件大小(单位：字节)
NODE    ：本地文件的节点号
NAME    ：文件所在的挂载点和文件系统的名称
FD      ：文件的文件描述符编号# cwd  当前工作目录# Lnn  库引用(AIX)# err  FD信息错误(见NAME列)# jld  监狱目录(FreeBSD)# ltx  共享库文本(代码和数据)# Mxx  十六进制内存映射类型号xx# m86  DOS合并映射文件# mem  内存映射文件# mmap 内存映射装置# pd   父目录# rtd  根目录# tr   内核跟踪文件(OpenBSD)# txt  程序文本(代码和数据)# v86  VP/ix映射文件
FD后面跟着这些字符之一，描述文件打开的模式:# r 用于读访问# w 用于写访问# u 用于读写访问# - 如果模式未知，后面跟着锁字符# 空格 表示模式未知且后面没有锁定字符
mode字符后面跟着一个锁字符，描述应用到文件的锁类型:# N 对于未知类型的Solaris NFS锁# r 用于文件部分的读锁# R 对于整个文件的读锁# w 用于对文件的一部分进行写锁# W 对于整个文件的写锁# u 对于任意长度的读写锁# U 对于未知类型的锁# x 对于SCO OpenServer Xenix锁的部分文件# X SCO OpenServer Xenix锁定整个文件# 空格 如果没有锁

PPID            ：父ID（-z 指定）。
PGID            ：进程组标识号（-g 指定）。
ZONE            ：为Solaris 10及以上版本的分区名称（-z指定）。
SECURITY-CONTEXT：是SELinux安全上下文（-Z指定）。注意：在运行的Linux内核中禁用SELinux时，-Z选项将被抑制。
FILE-ADDR       ：当f被指定为+f时，包含内核文件结构地址.
FCT             ：当c被指定为+f时，包含来自内核文件结构的文件引用计数
NLINK           ：当指定+L时，包含文件链接计数
FILE-FLAG       ：当g或g被指定为+f时，该字段包含内核文件结构的f_flag[s]成员的内容和内核的每个进程打开文件标志(如果可用);' G'使它们以十六进制显示;“g”，作为简称;可以显示两个列表，条目之间用逗号分隔，列表之间用分号(';')分隔;第一个列表可以包含下表中f_flag[s]值的简写名称:# AIO: 异步I/O(例如，FAIO)# AP: 附加# ASYN: 异步I/O(例如，FASYNC)# BAS: block, test, set在使用中# BKIU: 在使用时阻塞# BL: 使用块偏移量# BSK: 块寻求# CA: 避免副本# CIO: 并发I / O# CLON: 克隆# CLRD: CL读# CR: 创建# DF: 推迟# DFI: 推迟印第安纳州# DFLU: 数据刷新# DIR: 直接# DLY: 延迟# DOCL: 做克隆# DSYN: 数据完整性# DTY: 必须是目录# EVO: 活动只# EX: 开放执行# EXCL: 独家开# FSYN: 同步写道# GCDF: 在unp_gc()期间延迟(AIX)# GCMK: unp_gc()期间的标记(AIX)# GTTY: 通过/dev/tty访问# HUP: HUP进行中# KERN: 内核# KIOC: kernel-issued ioctl# LCK: 有锁# LG: 大文件# MBLK: 流消息块# MK: mark# MNT: mount# MSYN: 多路同步# NATM: 不要更新时间# NB: 非阻塞I / O# NBDR: 没有BDRM检查# NBIO: SYSV非阻塞I/O# NBF: n缓冲生效# NC: 没有缓存# ND: 没有延迟# NDSY: 无数据同步# NET: 网络# NFLK: 不要点击链接# NMFS: NM文件系统# NOTO: 关闭背景停止# NSH: 没有分享# NTTY: 无控制TTY# OLRM: OLR的镜子# PAIO: POSIX异步I/O# PP: POSIX管# R: 读# RC: 文件和记录锁定缓存# REV: 撤销# RSH: 分享阅读# RSYN: 读同步# RW: 读写访问# SL: 共享锁# SNAP: 煮熟的快照# SOCK: 套接字# SQSH: 顺序共享设置打开# SQSV: 序列SVM设置开启# SQR: 序列集修复打开# SQS1: 顺序全共享打开# SQS2: 顺序部分共享打开# STPI: 停止I / O# SWR: 同步阅读# SYN: 写入时文件完整性# TCPM: 避免TCP冲突# TR: 截断# W: 写# WKUP: 并行I/O同步# WTG: 并行I/O同步# VH: vhangup等待# VTXT: 虚拟文本# XL: 独占锁

3. 使用技巧

快速查询结果使用 -n （不显示主机名）

• 为什么不显示主机名？
• 查询过程中非常慢，影响速度且实际作用并不大。

分页查询 + more 命令

• 为什么分页查询？
• 因为lsof在没有过滤的情况下信息很多，分页查询更方便。

同时过滤使用 -a（and）

• 为什么使用 -a 过滤？
• 因为lsof在没有使用-a的情况下并不会同时过滤多个条件，这也是为了方便扩展。需要在其他参数前加上 -a 参数。

简单示例：

# 快速查询 + 分页查询
lsof -n |more# 指定的选项必须同时满足
lsof -a -u [user] -p [pid] -c [cmd]
lsof -an -u [user] -p [pid] -c [cmd] |more

4. 指定查询

4.1. 指定某个command

# 指定单个command列
lsof -c [command]# 指定多个command列
lsof -c [command1] -c [command2] -c [command3]# 排除某个command
lsof -c ^[command]# 指定某个用户下的command列（需要-a过滤）
lsof -a -u [user] -c [command]

4.2. 指定某个用户

# 指定单个用户
lsof -u [user]# 指定多个用户
lsof -u [user1],[user2],[user3]# 除某个用户下的其他信息（取反）
lsof -u ^[user]# 除多个用户下的其他信息（取反），需要注意指定的用户必须存在，否则报错
lsof -u ^[user1],^[user2],^[user3]

4.3. 指定某个PID

# 指定单个pid
lsof -p [pid]# 指定多个pid
lsof -p [pid1],[pid2],[pid3]# 排除某个pid
lsof -p ^[pid]

4.4. 指定某个目录下打开的文件

+d[path] ：指定目录文件下存在的进程
+D[path] ：指定目录文件下存在的进程（递归），多个目录下以空格分隔建议使用+D，+d无法递归# 指定单个目录
lsof +D [path]# 指定多个目录（以空格分隔）
lsof +D [path1] [path2] [path3]

4.5. 指定FD类型

# 指定单个类型
lsof -d [type]# 指定多个类型
lsof -d [type1],[type1],[type1]类型说明：# cwd  当前工作目录# Lnn  库引用(AIX)# err  FD信息错误(见NAME列)# jld  监狱目录(FreeBSD)# ltx  共享库文本(代码和数据)# Mxx  十六进制内存映射类型号xx# m86  DOS合并映射文件# mem  内存映射文件# mmap 内存映射装置# pd   父目录# rtd  根目录# tr   内核跟踪文件(OpenBSD)# txt  程序文本(代码和数据)# v86  VP/ix映射文件

5. 查询网络类

# 仅显示ipv4/ipv6的列表
lsof -i# 仅显示ipv4信息
lsof -i 4# 仅显示ipv6信息
lsof -i 6# 仅显示ipv4/ipv6中tcp信息
lsof -i tcp#  仅显示ipv4/ipv6中udp信息
lsof -i udp# 仅显示ipv4中tcp信息
lsof -a -i 4 -i tcp# 仅显示ipv6中udp信息
lsof -a -i 6 -i udp# 仅显示占用3306端口信息
lsof -i :3306# 仅显示占用1-1000端口信息
lsof -i :1-1000# 禁用TCP/TPI信息
lsof -T# 禁用TCP/UDP文件
lsof -X

6. 查询删除文件

6.1. 恢复误删文件

前提条件

• 必须是正在运行中的文件，进程还存在

# 检查该文件是否还存在
lsof -n |grep delete |grep [进程名]# 查看伪文件 /proc
ll /proc/[PID]/fd# 将伪文件下fd拷贝过来即可
cp /proc/[PID]/fd/255 ./

6.2. 删除物理文件后空间未释放

描述

• 清理物理文件后，df 查看磁盘发现空间并没有释放

示例：删除5GB物理文件后，空间并没有释放

# 查询已删除但进程未结束的进程，杀掉即可
lsof -n |grep delete# 杀掉单个进程
kill -9 [PID]# 杀掉全部进程
lsof -n |grep delete |awk '{print $2}' |xargs kill -9

6.3. 检查句柄

小技巧

• 使用root用户查询的进程更全面

# 查看单个进程最大句柄数
ulimit -n# 排序查看进程一打开的句柄数（第一列：句柄数，第二列：PID）
lsof -n |awk '{print $2}' |sort |uniq -c |sort -nr# 查看打开句柄数超过1000的PID（第一列：句柄数，第二列：PID）
lsof -n |awk '{print $2}' |sort |uniq -c |sort -nr |awk '$1 > 1000 {print $0}'# 查看句柄超过1000的进程信息
ps u -p `lsof -n |awk '{print $2}' |sort |uniq -c |sort -nr |awk '$1 > 1000 {print $2}' |xargs |tr ' ' ,`