如何查看进程打开的文件 lsof命令网络连接查询

lsof 是 linux/unix 系统中用于列出所有打开文件的强大工具，1. 可通过 lsof -p 查看特定进程打开的文件；2. 使用 lsof -i 查看网络套接字，lsof -i :端口 可定位端口占用；3. 用 lsof -u 用户名 查看指定用户打开的文件；4. 使用 lsof +d /目录 递归查看某目录下被打开的文件；5. lsof -c 命令名 可按进程名过滤；6. 输出中的 command、pid、user、fd、type、name 等列分别表示进程名、进程id、用户、文件描述符、文件类型和文件/网络地址信息，掌握这些列的含义有助于深入分析系统状态、排查资源占用、调试服务异常和进行安全审计，是系统运维和故障排查中不可或缺的工具。

lsof

是一个非常强大的工具，能够列出所有打开的文件，包括常规文件、目录、网络套接字等，它在排查系统问题时特别有用。

查看进程打开的文件以及查询网络连接，

lsof

命令是 Linux/Unix 系统管理员和开发者手中的一把利器。它的全称是 "list open files"，顾名思义，就是列出当前系统所有打开的文件。这里说的“文件”是一个广义的概念，它不仅包括我们通常理解的磁盘上的文件，还包括网络连接（套接字）、管道、设备文件、目录等等。

要查看某个特定进程打开了哪些文件，最直接的方式就是使用

lsof -p <PID>

。例如，如果我想看看我的 SSH 会话（通常是

sshd

进程）都打开了些什么，我会先用

ps aux | grep sshd

找到

sshd

的 PID，然后执行

lsof -p <那个PID>

。你会看到一长串输出，里面包含了这个进程正在访问的所有文件，从它加载的动态链接库，到它可能正在读写的日志文件，甚至它正在监听或建立的网络连接。

至于网络连接的查询，

lsof -i

是最常用的选项。它会列出所有打开的 Internet 文件（也就是网络套接字）。如果你想看某个特定端口被哪个进程占用，比如 80 端口，你可以用

lsof -i :80

。这在排查端口冲突或者确认某个服务是否正常监听时非常有用。我经常遇到一个服务启动失败，提示端口被占用的情况，这时候

lsof -i :端口号

一下，问题立马浮出水面。

为什么我们需要关心进程打开了哪些文件？

这问题问得好，很多人可能觉得，一个进程打开了什么文件，跟我有什么关系？但实际上，这背后隐藏着很多系统运行的秘密，也是我们排查问题、优化性能、甚至进行安全审计的关键线索。

首先，资源限制是个大问题。每个进程能打开的文件描述符（File Descriptor，FD）数量是有限的，系统也有一个总的限制。当一个应用程序出现“Too many open files”的错误时，

lsof

几乎是唯一能让你快速定位到是哪个进程、甚至具体是哪个部分在疯狂消耗文件句柄的工具。我曾遇到一个日志收集服务，因为配置错误，导致它不断地打开新的日志文件句柄而没有正确关闭，最终把系统的 FD 耗尽，影响了其他服务的正常运行。

lsof -p PID | wc -l

一看，几万个 FD，瞬间就找到了问题根源。

其次，调试和故障排查。一个服务启动不起来，或者行为异常，它可能在尝试读取一个不存在的配置文件，或者写入一个没有权限的日志目录。通过

lsof -p PID

，你可以清晰地看到它正在尝试访问哪些文件，哪些文件是它正常打开的，哪些可能是它失败后留下来的“痕迹”。这比翻阅一堆日志文件要直观得多，尤其是在日志本身可能也记录不全的情况下。

再者，安全审计。一个进程在后台偷偷摸摸地打开了某个敏感文件，或者建立了可疑的网络连接，这都可能是潜在的安全风险。通过定期检查关键进程的

lsof

输出，你可以发现一些非预期的行为。比如，一个 Web 服务器不应该去连接某个外部的非标准端口，如果发现了，那可能就需要深入调查了。

lsof命令在日常运维中的高级用法有哪些？

lsof

的强大之处在于它的灵活性和丰富的功能，远不止前面提到的那些基本用法。在日常运维中，我经常会用到一些组合拳，来更精准地定位问题。

比如说，我想看看某个用户，比如

nginx

用户，都打开了哪些文件，特别是网络连接。我可能会这样用：

lsof -u nginx

。这会列出

nginx

用户启动的所有进程所打开的文件。如果我只想看

nginx

用户相关的网络连接，那么

lsof -i -u nginx

就能帮我过滤出来。

有时候，我们需要查看某个特定目录下的文件被哪些进程打开了，这在卸载文件系统或者进行磁盘清理时非常有用。比如，我想知道

/var/log

下的文件被谁占用了，可以运行

lsof +D /var/log

。

+D

选项会递归地列出指定目录下所有打开的文件。如果我发现一个目录无法被删除，通常就是有进程还在使用其中的文件，

lsof

就能告诉我“罪魁祸首”是谁。

对于网络部分，除了

lsof -i :端口

，我还会用

lsof -i tcp:listen

来快速查看所有处于监听状态的 TCP 端口和对应的进程。这比

netstat -tulnp

更有优势的地方在于，它能直接显示文件描述符和进程路径，信息更全面。如果我想看某个 IP 地址的所有连接，比如

lsof -i @192.168.1.100

也是可以的。

另一个有用的场景是，当我知道一个进程的名称，但不知道它的 PID 时，可以用

lsof -c <command_name>

。比如，

lsof -c apache2

就能列出所有名为

apache2

的进程所打开的文件。这在服务名称和进程名称不完全一致，或者有多个同名进程时，非常方便。

lsof命令的输出结果如何解读？

lsof

的输出虽然信息量巨大，但只要掌握了几个关键列的含义，解读起来并不复杂。理解这些列是高效利用

lsof

的基础。

一个典型的

lsof

输出行通常包含以下几列：

• COMMAND: 启动这个文件或连接的命令名称。比如

  sshd

  、

  nginx

  、

  mysql

  等。
• PID: 进程的 ID。这是我们定位进程的唯一标识。
• USER: 启动这个进程的用户。这对于权限排查很有帮助。
• FD: 文件描述符（File Descriptor）。这是最核心也最复杂的一列。

  • cwd

    : Current Working Directory，当前工作目录。

  • txt

    : Text file，程序的可执行文件本身。

  • mem

    : Memory-mapped file，内存映射文件，通常是程序加载的共享库或数据文件。

  • rtd

    : Root directory，根目录。
  • 数字后面跟着

    u

    、

    r

    、

    w

    、

    a

    分别表示：

    u

    (unbuffered, read/write access),

    r

    (read access),

    w

    (write access),

    a

    (append access)。例如

    3u

    表示文件描述符 3 以读写方式打开。
• TYPE: 文件类型。

  • REG

    : Regular file，普通文件。

  • DIR

    : Directory，目录。

  • CHR

    : Character special file，字符设备文件（如终端

    /dev/pts/0

    ）。

  • BLK

    : Block special file，块设备文件（如磁盘

    /dev/sda

    ）。

  • FIFO

    : FIFO special file，命名管道。

  • SOCK

    : Socket，套接字（通常是 Unix 域套接字）。

  • IPv4

    /

    IPv6

    : Internet 协议套接字。
• DEVICE: 设备号。对于磁盘文件，这通常是主设备号和次设备号。
• SIZE/OFF: 文件大小或文件偏移量。对于网络连接，这列通常为空。
• NODE: 文件的 inode 号。
• NAME: 文件的具体路径或网络连接的详细信息。
  • 对于普通文件，是其在文件系统中的完整路径。
  • 对于网络连接，格式通常是

    协议->本地地址:本地端口->远程地址:远程端口 (状态)

    。例如

    TCP *:80 (LISTEN)

    表示监听所有接口的 80 端口，

    TCP 192.168.1.10:22->192.168.1.1:54321 (ESTABLISHED)

    表示一个已建立的连接。

举个例子，一行输出可能是这样的：

sshd 1234 root 3u IPv4 0x1234567890 0t0 TCP *:22 (LISTEN)

这表示 PID 为 1234 的

sshd

进程，以 root 用户身份，打开了一个文件描述符 3，类型是 IPv4 套接字，正在监听所有接口的 22 号端口。

理解这些列的含义，你就能像侦探一样，从

lsof

的输出中抽丝剥茧，找到你需要的信息。它不仅仅是一个命令，更像是一个系统状态的快照，让你能深入了解每个进程的“内心世界”。