使用 lsof 查找打开的文件

核心提示： 我使用 -a 和 -d 参数对输出进行筛选，以排除代码程序段，使用 lsof 查找打开的文件(9)，因为我知道需要查找的是哪些文件，Name 列显示出，那么可以将筛选器改为 6:25，以表示监听端口 25 的 IPv6 套接字，其中的两个文件（FD 2 和 15）使用磁盘名代替了文件名，并

我使用 -a 和 -d 参数对输出进行筛选，以排除代码程序段，因为我知道需要查找的是哪些文件。Name 列显示出，其中的两个文件（FD 2 和 15）使用磁盘名代替了文件名，并且它们的类型为 VREG（常规文件）。在 Solaris 中，删除的文件将显示文件所在的磁盘的名称。通过这个线索，就可以知道该 FD 指向一个删除的文件。实际上，查看 /proc/8663/fd/15 就可以得到所要查找的数据。

如果可以通过文件描述符查看相应的数据，那么您就可以使用 I/O 重定向将其复制到文件中，如 cat /proc/8663/fd/15 > /tmp/error_log 。此时，您可以中止该守护进程（这将删除 FD，从而删除相应的文件），将这个临时文件复制到所需的位置，然后重新启动该守护进程。

对于许多应用程序，尤其是日志文件和数据库，这种恢复删除文件的方法非常有用。正如您所看到的，有些操作系统（以及不同版本的 lsof）比其他的系统更容易查找相应的数据。

查找网络连接

网络连接也是文件，这意味着可以使用 lsof 获得关于它们的信息。您曾在清单 2 中看到过这样的示例。该示例假设您已经知道 PID，但是有时候并非如此。如果您只知道相应的端口，那么可以使用 -i 参数利用套接字信息进行搜索。清单 8 显示了对 TCP 端口 25 的搜索。

清单 8. 查找监听端口 25 的进程

# lsof -i :25
COMMAND　PID USER　 FD　 TYPE　　　　DEVICE SIZE/OFF NODE NAME
sendmail 605 root　　5u　IPv4 0x300010ea640　　　0t0　TCP *:smtp (LISTEN)
sendmail 605 root　　6u　IPv6 0x3000431c180　　　0t0　TCP *:smtp (LISTEN)

需要以 protocol:@ip:port 的形式向 lsof 实用程序传递相关信息，其中的 protocol 为 TCP 或 UDP（可以使用 4 或 6 作为前缀，表示 IP 的版本），IP 为可解析的名称或 IP 地址，而 port 为数字或表示该服务的名称（来自 /etc/services）。需要一个或多个元素（端口、IP、协议）。在清单 8 中，:25 表示端口 25。输出显示，进程 605 正在使用 IPv6 和 IPv4 监听端口 25。如果您对 IPv4 不感兴趣，那么可以将筛选器改为 6:25，以表示监听端口 25 的 IPv6 套接字，或者直接使用 6 表示所有的 IPv6 连接。