怎么获取某进程的所有句柄

用NtQueryInformationProcess可以查询单搜李个进程的句柄数 但是要打开进程

用NtQuerySystemInformation可以激链获取所有进程的统计信息，而且没世铅迟有任何权限要求

这个用一个api就可以解决，你用pdh涉及到的更多

百度百科：

在文件I/O中，要从一个文件读取数据，应用程序首先要调用 *** 作 系统函数 并传送文件名，并选一个到该文件的路径来打开文件。该函数取回一个顺序号，即文件句柄（file handle），该文件句柄对于打开的文件是唯一的识别依据。要乎茄李从文件中读取一块数据，应用程序需要调用函数ReadFile，并将文件句柄在内存中的地址和要拷贝的字节数传送给 *** 作系统。当完成任务后，再通过调用系统函数来关闭该文件。

linux下文件句柄是有限制的岁迟，默认纳培并不会太高，一般都是1024。linux指令ulimit -n可以查看文件句柄限制。

ulimit -a   用来显示当前的各种用户进程限制

ulimit -n 查看当前用户默认的最大文件句柄数

lsof |wc -l  查看所有进程的文件打开数

lsof -n|awk '{print $2}'|sort|uniq -c|sort -nr|more 查看当前进程打开了多少句柄数，注意第一列是句柄数，第二列是进程id

硬限制是实际的限制，而软限制，是warnning限制，只会做出warning，可以通过ulimit来设定这两个参数，用root用户执行ulimit -HSn 4096（H指定了硬性大小，S指定了软性大小，n表示设定单个进程最大的打开文件句柄数量）

1.lsof -n |awk '{print $2}'|sort|uniq -c |sort -nr|more

在系统访问高峰时间以root用户执行上面的脚本，可能出现的结果如下：

1.# lsof -n|awk '{print $2}'|sort|uniq -c |sort -nr|more

2.131 24204

3. 57 24244

4. 57 24231

5. 56 24264

其中第一行是打开的文件句柄数量，第二行是进程号。得到进程号后，我们可以通过ps命令得到进程的详细内容。

1.ps -aef|grep 24204

2.mysql24204 24162 99 16:15 ?00:24:25 /usr/sbin/mysqld

哦，原来是mysql进程打开最多文件句柄数量。但是他目前只打开了131个文件句柄数量，远远底于系统默认值1024。

但是如果系统并发特别大，尤其是squid服务器，很有可能会超过1024。这时候就必须要调整系统参数，以适应应用变化。Linux有硬性限制和软性兆扒限制。可以通过ulimit来设定这两个参数。方法如下，以root用户运行以下命令：

1.ulimit -HSn 4096

以

上命令中，H指定了硬性大小，S指定了软性大小，n表示设定单个进程最大的打开文件句柄数量。个人觉得最好不要超过4096，毕竟打开的文件句柄数越多响

应时间肯定会越慢。设定句柄数量后，系统重启后，又会恢复默认值。如果想永久保存下来，，可以修改 /etc/profile

把上面命令加到最后。(findsun提出的办法比较合理)

/////////////////////////////////////////////////////////////////////////////

在 Linux下面部迹做署应用的时候，有时候会遇上Socket/File: Can't open so many

files的问题，其实Linux是有文件句柄限制的（就像WinXP？），而且默认不是很高，一般都是1024，作为一台生产服务器，其实很容易就达到

这个数量，因此我们需要把这个值改大一些。

大概知道ulimit这个命令是相关的，上Google搜索了一下，大多数说的很含糊，也没有统一说一下族州昌，经过两个小时看了不少文章终于弄清楚ulimit相关的一些配置问题。

我们可以用ulimit -a来查看所有限制值，我只关心文件句柄数量的问题

open files (-n) 1024

这个就是限制数量

这里，有很多ulimit的文章都说的很含糊，究竟这个1024是系统的限制，还是用户的限制呢。其实，这个是用户限制来的，完整的说法，应该是当前用户准备要运行的程序的限制。

1、这个限制是针对单个程序的限制

2、这个限制不会改变之前已经运行了的程序的限制

3、对这个值的修改，退出了当前的shell就会消失

比如说，我先运行了一个程序A，然后通过ulimit修改了限制为2048，然后运行B，然后退出了shell再登录，然后运行C。那就只有B可以打开2048个句柄。

如果我们需要改变整体的限制值，或者我们运行的程序是系统启动的，应该怎么处理呢

其中一个方法，是想ulimit修改命令放入/etc/profile里面，但是这个做法并不好

正确的做法，应该是修改/etc/security/limits.conf

里面有很详细的注释，比如

* soft nofile 2048

* hard nofile 32768

就可以将文件句柄限制统一改成软2048，硬32768

这里涉及另外一个问题，什么是软限制，什么是硬限制

硬限制是实际的限制，而软限制，是warnning限制，只会做出warning

其实ulimit命令本身就有分软硬设置，加-H就是硬，加-S就是软

默认显示的是软限制，如果修改的时候没有加上的话，就是两个一起改

配置文件最前面的一位是domain，设置为星号代表全局，另外你也可以针对不同的用户做出不同的限制

修改了，重新登录用ulimit一开就立刻生效了，不过之前启动过的程序要重新启动才能使用新的值。我用的是CentOS，似乎有些系统需要重启才能生效。

ulimit其实就是对单一程序的限制

那系统总限制呢

其实是在这里，/proc/sys/fs/file-max

可以通过cat查看目前的值，echo来立刻修改

另外还有一个，/proc/sys/fs/file-nr

只读，可以看到整个系统目前使用的文件句柄数量

查找文件句柄问题的时候，还有一个很实用的程序lsof

可以很方便看到某个进程开了那些句柄

也可以看到某个文件/目录被什么进程占用了。

---