linux lsof命令详解

lsof命令用于查看你进程打开的文件、打开文件的进程、进程打开的端口。找回/恢复删除的文件。是十分方便的系统监视工具，因为lsof命令需要访问核心内存和各种文件，所以需要root用户执行。

在Linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。所以如传输控制协议和用户数据协议套接字等，系统在后台都为该应用程序分配了一个文件描述符，无论这个文件的本质如何，该文件描述符为应用程序与基础 *** 作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息，因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。

语法：

losf (选项)

选项：

-a 列出打开文件存在的进程

-c<进程名>列出指定进程所打开的文件

-g 列出GID号进程详情

-d<文件名>列出占用该文件号的进程

+d<目录>列出目录下被打开的文件

+D<目录>递归列出目录下被打开的文件

-n<目录>列出使用NFS的文件

-i<条件>列出符合条件的进程。

误删除文件进程还在的情况

这种一般是有活动的进程存在持续标准输入或输出，到时文件被删除后，进程PID还是存在。这也就是有些服务器删除一些文件但是磁盘不释放的原因。比如当前举例说明：

通过一个shell终端对一个测试文件做cat追加 *** 作：

[root@21yunwei_backup ~]# echo  "hello  py" >testdelete.py

[root@21yunwei_backup ~]# cat  >>testdelete.py

hello delete

另外一个终端查看这个文件可以清楚看到内容：

[root@21yunwei_backup ~]# cat testdelete.py

hello  py

hello delete

此时，在当前服务器删除 *** 作文件rm -f ./testdelete.py

命令查看这个目录，文件已经不存在了，那么现在我们将其恢复出来。

1，lsof查看删除的文件进程是否还存在。这里用到一个命令lsof，如没有安装请自行yum或者apt-get。类似这种情况，我们可以先lsof查看删除的文件 是否还在：

[root@21yunwei_backup ~]# lsof | grep deleted

mysqld     1512   mysql    5u      REG              252,3          0    6312397 /tmp/ibzW3Lot (deleted)

cat       20464    root    1w      REG              252,3         23    1310722 /root/testdelete.py (deleted)

幸运的是这种情况进程还存在 ，那么开始进行恢复 *** 作。

2，恢复。

恢复命令：

cp /proc/pid/fd/1  /指定目录/文件名

进入 进程目录，一般是进入/proc/pid/fd/,针对当前情况：

[root@21yunwei_backup ~]# cd   /proc/20464/fd

[root@21yunwei_backup fd]# ll

total 0

lrwx------ 1 root root 64 Nov 15 18:12 0 >/dev/pts/1

l-wx------ 1 root root 64 Nov 15 18:12 1 >/root/testdelete.py (deleted)

lrwx------ 1 root root 64 Nov 15 18:12 2 >/dev/pts/1

恢复 *** 作：

cp 1 /tmp/testdelete.py

查看文件：

[root@21yunwei_backup fd]# cat  /tmp/testdelete.py

hello  py

hello delete

恢复完成。

---