如何查看进程打开的文件 lsof命令网络连接查询

lsof 是 linux/unix 系统中用于列出所有打开文件的强大工具，1. 可通过 lsof -p 查看特定进程打开的文件；2. 使用 lsof -i 查看网络套接字，lsof -i :端口 可定位端口占用；3. 用 lsof -u 用户名 查看指定用户打开的文件；4. 使用 lsof +d /目录 递归查看某目录下被打开的文件；5. lsof -c 命令名 可按进程名过滤；6. 输出中的 command、pid、user、fd、type、name 等列分别表示进程名、进程id、用户、文件描述符、文件类型和文件/网络地址信息，掌握这些列的含义有助于深入分析系统状态、排查资源占用、调试服务异常和进行安全审计，是系统运维和故障排查中不可或缺的工具。

lsof

查看进程打开的文件以及查询网络连接，

lsof

要查看某个特定进程打开了哪些文件，最直接的方式就是使用

lsof -p <PID>

sshd

ps aux | grep sshd

sshd

lsof -p <那个PID>

至于网络连接的查询，

lsof -i

lsof -i :80

lsof -i :端口号

为什么我们需要关心进程打开了哪些文件？

这问题问得好，很多人可能觉得，一个进程打开了什么文件，跟我有什么关系？但实际上，这背后隐藏着很多系统运行的秘密，也是我们排查问题、优化性能、甚至进行安全审计的关键线索。

首先，资源限制是个大问题。每个进程能打开的文件描述符（File Descriptor，FD）数量是有限的，系统也有一个总的限制。当一个应用程序出现“Too many open files”的错误时，

lsof

lsof -p PID | wc -l

其次，调试和故障排查。一个服务启动不起来，或者行为异常，它可能在尝试读取一个不存在的配置文件，或者写入一个没有权限的日志目录。通过

lsof -p PID

再者，安全审计。一个进程在后台偷偷摸摸地打开了某个敏感文件，或者建立了可疑的网络连接，这都可能是潜在的安全风险。通过定期检查关键进程的

lsof

巧文书

巧文书是一款AI写标书、AI写方案的产品。通过自研的先进AI大模型，精准解析招标文件，智能生成投标内容。

281

查看详情

lsof命令在日常运维中的高级用法有哪些？

lsof

比如说，我想看看某个用户，比如

nginx

lsof -u nginx

nginx

nginx

lsof -i -u nginx

有时候，我们需要查看某个特定目录下的文件被哪些进程打开了，这在卸载文件系统或者进行磁盘清理时非常有用。比如，我想知道

/var/log

lsof +D /var/log

+D

lsof

对于网络部分，除了

lsof -i :端口

lsof -i tcp:listen

netstat -tulnp

lsof -i @192.168.1.100

另一个有用的场景是，当我知道一个进程的名称，但不知道它的 PID 时，可以用

lsof -c <command_name>

lsof -c apache2

apache2

lsof命令的输出结果如何解读？

lsof

lsof

一个典型的

lsof

• COMMAND: 启动这个文件或连接的命令名称。比如

  sshd

  登录后复制
  、

  nginx

  登录后复制
  、

  mysql

  登录后复制
  等。
• PID: 进程的 ID。这是我们定位进程的唯一标识。
• USER: 启动这个进程的用户。这对于权限排查很有帮助。
• FD: 文件描述符（File Descriptor）。这是最核心也最复杂的一列。

  • cwd

    登录后复制
    : Current Working Directory，当前工作目录。

  • txt

    登录后复制
    : Text file，程序的可执行文件本身。

  • mem

    登录后复制
    : Memory-mapped file，内存映射文件，通常是程序加载的共享库或数据文件。

  • rtd

    登录后复制
    : Root directory，根目录。
  • 数字后面跟着

    u

    登录后复制
    、

    r

    登录后复制
    、

    w

    登录后复制
    、

    a

    登录后复制
    分别表示：

    u

    登录后复制
    (unbuffered, read/write access),

    r

    登录后复制
    (read access),

    w

    登录后复制
    (write access),

    a

    登录后复制
    (append access)。例如

    3u

    登录后复制
    表示文件描述符 3 以读写方式打开。
• TYPE: 文件类型。

  • REG

    登录后复制
    : Regular file，普通文件。

  • DIR

    登录后复制
    : Directory，目录。

  • CHR

    登录后复制
    : Character special file，字符设备文件（如终端

    /dev/pts/0

    登录后复制
    ）。

  • BLK

    登录后复制
    : Block special file，块设备文件（如磁盘

    /dev/sda

    登录后复制
    ）。

  • FIFO

    登录后复制
    : FIFO special file，命名管道。

  • SOCK

    登录后复制
    : Socket，套接字（通常是 Unix 域套接字）。

  • IPv4

    登录后复制
    /

    IPv6

    登录后复制
    : Internet 协议套接字。
• DEVICE: 设备号。对于磁盘文件，这通常是主设备号和次设备号。
• SIZE/OFF: 文件大小或文件偏移量。对于网络连接，这列通常为空。
• NODE: 文件的 inode 号。
• NAME: 文件的具体路径或网络连接的详细信息。
  • 对于普通文件，是其在文件系统中的完整路径。
  • 对于网络连接，格式通常是

    协议->本地地址:本地端口->远程地址:远程端口 (状态)

    登录后复制
    。例如

    TCP *:80 (LISTEN)

    登录后复制
    表示监听所有接口的 80 端口，

    TCP 192.168.1.10:22->192.168.1.1:54321 (ESTABLISHED)

    登录后复制
    表示一个已建立的连接。

举个例子，一行输出可能是这样的：

sshd 1234 root 3u IPv4 0x1234567890 0t0 TCP *:22 (LISTEN)

sshd

理解这些列的含义，你就能像侦探一样，从

lsof

以上就是如何查看进程打开的文件 lsof命令网络连接查询的详细内容，更多请关注php中文网其它相关文章！