lsof命令详解：

1.1查看命令说明

lsof -h

1.2列出所有打开的文件

# lsof

不带任何参数运行lsof会列出所有进程打开的所有文件。

1.3找出在使用某个文件的进程

# lsof /var/log/messages

只需要执行文件的绝对路径，lsof就会列出所有使用这个文件的进程，也可以列出多个文件，lsof会列出所有使用这些文件的进程。

也可以一次制定多个文件，中间以空格间隔，如下：

# lsof /var/log/messages/var/log/maillog

1.4递归查找某个目录中所有打开的文件

# lsof +D /var/log

加上+D参数，lsof会对指定目录进行递归查找，注意这个参数要比grep版本慢：

# lsof | grep '/var/log'

之所以慢是因为+D首先查找所有的文件，然后一次性输出。

1.5列出某个用户打开的所有文件

# lsof -u oracle

-u选项限定只列出所有被用户oracle打开的文件，可以通过逗号指定多个用户：

# lsof -u root,oracle

也可以使用多个-u做同样的事情：

# lsof -u root -u oracle

1.6查找某个程序开头的所有文件

# lsof -c ora

-c选项限定只列出以ora开头的进程打开的文件：

所以可以不用像下面这样写：

# lsof | grep ora

而使用下面这个更简短的版本：

# lsof -c ora

可以只制定进程名称的开头,同样可以制定多个-c参数：

# lsof -c ora -c alert

这会列出所有由apache和python打开的文件

1.7 列出所有由某个用户或某个进程打开的文件

# lsof -u oracle -c ora

也可以组合使用多个选项，这些选项默认进行或关联，也就是说上面的命令会输入由oracle用户或是ora进程打开的文件。

1.8 列出所有由一个用户与某个进程打开的文件

# lsof -a -u oracle -c bash

-a参数可以将多个选项的组合条件由或变为与，上面的命令会显示所有由oracle用户以及bash进程打开的文件。

1.9列出除root用户外的所有用户打开的文件

# lsof -u ^root

注意root前面的^符号，它执行取反操作，因此lsof会列出所有root用户之外的用户打开的文件。

1.10 列出所有由某个PID对应的进程打开的文件

# lsof -p 1

-p选项让可以使用进程id来过滤输出。

记住也可以用逗号来分离多个pid。

# lsof -p 430,657,889

列出所有进程打开的文件除了某个pid的

# lsof -p ^1

同前面的用户一样，也可以对-p选项使用^来进行取反。

1.11 列出所有网络连接

# lsof -i

lsof的-i选项可以列出所有打开了网络套接字（TCP和UDP）的进程。

1.12 列出所有TCP网络连接

# lsof -i tcp

也可以为-i选项加上参数，比如tcp，tcp选项会强制lsof只列出打开TCP sockets的进程。

1.13 列出所有UDP网络连接

# lsof -i udp

同样udp让lsof只列出使用UDP socket的进程。

1.14 找到使用某个端口的进程

# lsof -i :22

:22和-i选项组合可以让lsof列出占用TCP或UDP的22端口的进程。

也可以使用/etc/services中制定的端口名称来代替端口号，比如：

# lsof -i :smtp

找到使用某个udp端口号的进程

# lsof -i udp:53

同样的，也可以找到使用某个tcp端口的进程：

# lsof -i tcp:80

1.15 找到某个用户的所有网络连接

# lsof -a -u student -i

使用-a将-u和-i选项组合可以让lsof列出某个用户的所有网络行为。

1.16 列出所有NFS（网络文件系统）文件

# lsof -N

这个参数很好记，-N就对应NFS。

1.17 列出所有UNIX域Socket文件

# lsof -U

这个选项也很好记，-U就对应UNIX。

1.18 列出所有对应某个组id的进程

# lsof -g 1234

进程组用来来逻辑上对进程进行分组，这个例子查找所有PGID为1234的进程打开的文件。

1.19 列出所有与某个描述符关联的文件

# lsof -d 2

这个命令会列出所有以描述符2打开的文件。

也可以为描述符指定一个范围：

# lsof -d 0-2

这会列出所有描述符为0，1，2的文件。

-d选项还支持其它很多特殊值，下面的命令列出所有内存映射文件：

# lsof -d mem

txt则列出所有加载在内存中并正在执行的进程：

# lsof -d txt

1.20 输出使用某些资源的进程pid

# lsof -t -i

-t选项输出进程的PID，可以将它和-i选项组合输出使用某个端口的进程的PID，下面的命令将会杀掉所有使用网络的进程：

# kill -9 'lsof -t -i'

1.21 循环列出文件

# lsof -r 1

-r选项让lsof可以循环列出文件直到被中断，参数1的意思是每秒钟重复打印一次，这个选项最好同某个范围比较小的查询组合使用，比如用来监测网络活动：

# lsof -r 1 -u john -i -a

Lsof命令查出的结果，每行显示一个打开的文件，默认如果后面不跟任何东西，将打开系统打开的所有文件，最后显示结果中，会以下面几列内容显示

COMMAND ：进程名称

PID：进程标识符

USER:进程所有者

FD:文件描述符，应用程序通过文件描述符识别到该文件。如cwd、txt等

TYPE：文件类型，如DIR,REG

DEVICE:指定磁盘名称

SIZE:文件大小

NODE:索引节点（文件在磁盘上的标识）

NAME:打开文件的确切名称

其中FD中含有u表示该文件被打开处于读取写入模式，而不是只读或只写模式；r 只读 ； w 只写 ；W表示该应用程序具有对整个文件的写锁（确保每次只能打开一次应用程序实例）

初始打开每个应用程序时，都具有三个文件描述符，从0到2，分别表示标准输入、输出和错误流。因此，大多数应用程序所打开的FD都是从3开始！

TYPE类型会有如下：REG、DIR、CHR、BLK、UNIX、FIFO、IPV