lsof 是 linux 下的一个非常实用的系统级的监控、诊断工具。它是 List Open Files的缩写。

使用 lsof，你可以获取任何被打开文件的各种信息，因为 lsof 需要访问核心内存和各种文件，所以必须以 root 用户的身份运行它才能够充分地发挥其功能。

选项：

-a选项：列出打开文件存在的进程

-A选项：该选项在AFS系统上可用，其AFS内核代码通过动态模块实现。

-b选项：这个选项使lsof避免可能阻塞的内核函数

-c选项：使用格式"-c <进程名>"，列出指定进程所打开的文件

+c选项：使用格式"+c <整数>",定义UNIX命令最大初始字符数，与UNIX命令关联进程被打印在COMMAND列

-C选项：粗选项禁止从内核名称缓存报告任何路径名组件。

-g选项：列出gid号进程详情

-d选项：格式"-d 值或者一组值"，此选项指定要从输出列表中排除或包含的文件描述符（FD）列表。多个选项用逗号分隔，例如：“cwd,1,3”，“^6,^2”

+d选项：格式"+d <目录>"，此选项使lsof搜索指定目录的所有打开实例及其顶层包含的文件和目录。

+D选项：格式"+D <目录>",递归列出目录下被打开的文件

-D选项：格式"-D 参数值",此选项指导lsof使用设备缓存文件。此选项的使用有时受到限制。参数值可以使“?,b,r,u”。b，创建设备缓存文件；i，忽略设备缓存文件；u，读取并更新设备缓存文件；？输出设备缓存文件路径。

+|- f选项：f选项身阐明了如何解释路径名参数。在任何组合中后跟c、f、g、G或n时，它指定内核文件结构信息的列表为启用（“+”）或禁用（“-”）。

-F选项：格式“-F 字符列表”，此选项指定了一个字符列表，用于选择要输出的字段，以便通过

另一个程序和终止每个输出字段的字符。要输出的每个字段是在f中用单个字符指定。字段终止符

默认为NL，但可以更改至NUL（000）。

-n选项：格式"-n <目录>"，列出使用nfs的文件

-i选项：格式"-i <条件>"，列出符合条件的进程

-p选项：格式"-p <进程号>"，列出进程号所打开的文件

-u选项：列出uid号进程详情

-h选项：显示帮助信息

-v选项：显示版本信息

+|- e选项: 格式"-e s",(s是一个路径名)；免除路径名为s的文件系统受到可能会阻塞的内核函数调用的影响。+e选项免除stat（2）、lstat（2）和大多数readlink（2）内核函数调用。-e选项仅免除stat（2）和lstat（2”）内核函数调用。

+|- E选项:+E指定Linux管道和Linux UNIX套接字文件应显示端点信息，并且还应显示端点的文件。注意：只有当-v输出的编译标志行包含HASUXSOCKEPT时，UNIX套接字文件端点信息才可用。

-E指定Linux管道和Linux UNIX套接字文件应显示端点信息，而不是端点的文件。

-l选项：禁止将用户ID号转换为登录名。当登录名查找工作不正常或缓慢时，它也很有用

-|+ L选项：启用（“+”）或禁用（“-”）可用的文件链接计数列表，例如，它们不适用于套接字或大多数FIFO和管道。

+|- m选项：格式"-m m"指定备用内核内存文件或激活装载表补充处理。选项格式-m m指定一个内核内存文件m，代替/dev/kmem或/dev/mem，例如，一个崩溃转储文件。选项表单+m要求将装载补充文件写入标准输出文件。所有其他选项都会自动忽略。

+|- M 选项：启用（+）或禁用（-）本地TCP、UDP和UDPLITE端口的端口映射器注册报告，其中支持端口映射。默认报告模式由lsof构建器使用方言机器中的HASPMAPENABLED#定义设置。h头文件；lsof是在禁用HASPMAPENABLED#define的情况下分发的，因此端口映射器报告在默认情况下是禁用的，必须使用+M进行请求。

-N选项：选择NFS文件列表。

-o选项：指示lsof始终显示文件偏移量。它使SIZE/OFF输出列标题更改为OFFSET。

-O选项：指导lsof绕过它用来避免被某些内核操作阻塞的策略，即在分叉子进程中执行这些操作。

使用-c，-p，-g，-s选项时使用“^”取相反结果

+|-r选项：将lsof置于重复模式。其中，lsof列出了由其他选项选择的打开文件，延迟t秒，然后重复列出，延迟和重复列出，直到由选项前缀定义的条件停止。

如果前缀是“-”，则重复模式是无止境的。Lsof必须用中断或退出信号终止。

如果前缀为“+”，则重复模式将结束第一个循环，不会列出打开的文件，当然，当lsof因中断或退出信号而停止时也是如此。

-R选项：指示lsof在PPID列中列出父进程ID标识号。

例1：查看sftp使用的文件

lsof -c sftp

  如图所示，sftp正在下载文件。因为没有使用root帐户执行，所以很多行提示权限拒绝。

输出结果简要说明：

COMMAND：进程名

PID:进程ID

TID：线程ID

USER：所属用户

FD：文件描述符。可能的值为“cwd  当前工作目录”，“rtd  root目录”，“txt txt文件”，“mem 内存映射文件”，“err 文件描述符信息错误”，“jld jail 目录（FreeBSD）”，“Lnn 库文件相关（AIX）”，“Mxx 十六进制内存映射类型值”，“m86 DOS合并映射文件”，“mmap 内存映射设备”，“pd 父目录”，“v86 vp/ix 映射文件”，“- 未知的或者被锁定的符号”，“tr 内核跟踪文件（OpenBSD）”

TYPE：与文件关联的node类型。可能的值为“DIR 目录”，“REG 普通文件”，“CHR 字符”，“FIFO 管道通讯特殊文件”，“LINK 符号链接文件”，“unix UNIX域socket文件”，“inet 互利联网域套接字文件”，“IPv4 IPv4套接字文件”，“IPv6 IPv6套接字文件”，“DEL 被删除的文件的linux映射文件”，“DOOR VDOOR文件”，“KQUEUE BSD类型内核事件队列文件”等等。

DEVICE：设备编号，用逗号分割，用于特殊字符、特殊块、常规文件、目录和NFS文件

SIZE/OFF：文件大小以及文件偏移量

NODE：本地文件node编号

NAME：文件系统挂载点名称

例2：查看php-fpm进程现在打开的文件

lsof -c php-fpm

 例3：列出进程id为1328的进程所打开的文件

lsof -p 1328

 例4：显示所有在/tmp目录下打开的文件进程

lsof +D /tmp

 例5：查看uid是1000的用户的进程的文件使用情况

 例6：显示FD为4的进程

lsof -d 4

例7：显示ipv4协议相关的进程情况

lsof -l 4

 例8：显示不是root账户的进程的文件使用 情况

lsof -u^root 

 例9：查看80端口被那个进程占用

lsof -i:80

 例10：查看所有打开的端口和UNIX domain文件

lsof -i -U

 例11：查看谁在使用文件系统

lsof  挂在文件系统的目录名

例12：恢复删除的文件

命令lsof |grep 删除的文件名称，获得PID(syslogd)打开文件的描述符为.如果出现deleted，那么就是标注为已经删除。

然后可以使用cat命令查看 /proc/pid号/fd/文件描述符 内容。如果能查看导数据，那么就可以通过I/O重定向将其复制到文件中，例如： cat /proc/pid号/fd/文件描述符 > 文件名