Linux命令工具lsof使用指南

Linux命令工具lsof使用指南一、工具概述二、安装方式1. 系统默认安装2. 手动安装

三、核心功能四、基础用法1. 列出所有打开的文件2. 按进程ID（PID）查看文件3. 按文件名/路径筛选4. 按用户筛选5. 查看网络套接字

五、进阶操作1. 查找已删除但仍被占用的文件（僵尸文件）2. 查看进程打开的文件描述符数量3. 递归查看目录下的文件4. 组合筛选条件5. 输出指定列信息

六、实战案例案例1：排查端口占用案例2：修复僵尸文件案例3：追踪用户操作

七、注意事项

Linux命令工具lsof使用指南

一、工具概述

lsof（List Open Files） 是Linux系统中用于查看当前系统打开文件的工具。在Linux中，一切皆文件（包括常规文件、目录、套接字、管道、设备等），lsof通过访问内核内存和文件系统来获取当前进程打开的文件信息，常用于排查文件被占用、进程异常、网络连接等问题。

二、安装方式

1. 系统默认安装

多数Linux发行版（如CentOS、Ubuntu、Debian）默认已安装lsof。可通过以下命令验证：

lsof --version

2. 手动安装

Ubuntu/Debian系统：

sudo apt update

sudo apt install lsof

CentOS/RHEL系统：

sudo yum install lsof

源码编译安装（适用于无包管理工具的系统）：

wget https://github.com/lsof-org/lsof/archive/master.zip

unzip master.zip

cd lsof-master

./configure

make && sudo make install

三、核心功能

功能分类具体功能描述文件查看列出所有进程打开的文件、目录、设备节点等信息进程关联根据进程ID（PID）或进程名查看其打开的文件，定位进程占用的资源网络排查查看网络套接字（Socket）状态，分析端口占用、网络连接异常等问题用户管理按用户筛选打开的文件，追踪特定用户的操作行为系统诊断检测僵尸文件（已删除但仍被进程占用的文件）、文件句柄泄漏等系统问题

四、基础用法

1. 列出所有打开的文件

lsof

输出说明：默认显示系统中所有进程打开的文件，包含以下关键列：

COMMAND：进程名称PID：进程IDUSER：进程所属用户FD：文件描述符（cwd-当前目录，txt-可执行文件，mem-内存映射文件，del-已删除但仍被占用的文件）TYPE：文件类型（如REG-常规文件，DIR-目录，SOCK-套接字，IPv4-IPv4网络连接）DEVICE：设备号SIZE/OFF：文件大小或偏移量NODE：inode节点号NAME：文件路径或网络地址

2. 按进程ID（PID）查看文件

lsof -p

# 示例：查看PID为1234的进程打开的文件

lsof -p 1234

3. 按文件名/路径筛选

lsof /path/to/file

# 示例：查看/tmp/test.log被哪些进程打开

lsof /tmp/test.log

4. 按用户筛选

lsof -u

# 示例：查看用户admin打开的所有文件

lsof -u admin

5. 查看网络套接字

lsof -i [协议类型]

# 示例：

lsof -i tcp # 查看所有TCP连接

lsof -i :8080 # 查看占用8080端口的进程

五、进阶操作

1. 查找已删除但仍被占用的文件（僵尸文件）

lsof +L1

# 输出中带有`(deleted)`标记的文件即为已删除但仍被进程占用的文件

2. 查看进程打开的文件描述符数量

lsof -p | wc -l

# 统计PID为1234的进程打开的文件数

lsof -p 1234 | wc -l

3. 递归查看目录下的文件

lsof +D /path/to/directory

# 示例：递归查看/usr/local目录下被打开的文件

lsof +D /usr/local

4. 组合筛选条件

# 查看用户admin启动的进程中占用80端口的TCP连接

lsof -u admin -i tcp:80

5. 输出指定列信息

lsof -p -o cwd,txt,user

# 仅显示进程的当前目录、可执行文件路径和用户

六、实战案例

案例1：排查端口占用

问题：启动服务时提示“端口8080被占用”。 解决步骤：

查看占用8080端口的进程：

lsof -i :8080

输出类似：

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

java 12345 root 12u IPv4 12345 0t0 TCP *:8080 (LISTEN)

根据PID终止进程：

sudo kill -9 12345

案例2：修复僵尸文件

问题：删除日志文件后磁盘空间未释放。 解决步骤：

查找已删除但仍被占用的文件：

lsof +L1 | grep "(deleted)"

输出类似：

httpd 6789 root 3r REG 8,1 1048576 12345 /var/log/httpd/access.log (deleted)

重启占用进程（如httpd服务）以释放文件：

sudo systemctl restart httpd

案例3：追踪用户操作

需求：查看用户test在系统中打开的所有文件。 命令：

lsof -u test

可结合时间筛选（如-t参数）进一步缩小范围。

七、注意事项

权限要求：部分操作（如查看其他用户进程）需以root身份执行，否则可能无法获取完整信息。性能影响：直接执行lsof命令会遍历所有进程，在高负载系统中可能导致短暂性能波动，建议配合筛选条件缩小范围。文件描述符（FD）：

0（stdin）、1（stdout）、2（stderr）为标准输入输出文件。大于2的FD通常为用户打开的文件或网络连接。 符号链接处理：若文件路径为符号链接，需使用-P参数（默认已启用）避免解析为真实路径。版本兼容性：旧版本lsof可能不支持部分新特性（如IPv6筛选），建议保持工具版本更新。

通过合理使用lsof，可高效定位系统中文件、进程、网络连接的关联问题，是Linux系统管理和故障排查的核心工具之一。