转:lsof用法小结

lsof在我看来算是那类很少用到却功能强大的生僻命令.因为生僻,所以经常忘记参数,而且2~3千行的man页,也经常会让人发晕.所以,偶尔看到这用法小结,转载记录一下,以便日后查找.
原文链接

lsof是一个用来显示被打开的文件的强大而有用的工具。在Unix系统中，任何事物都是文件（everything is a file），pipe是文件，IP sockets是文件，unix sockets是文件，目录是文件，设备是文件，inodes是文件。
一些有用的例子：
当在lsof后边没有跟任何参数时，该命令将会列出当前系统中被所有进程打开的所有文件

lsof|nl #nl命令打印出行号

lsof|nl #nl命令打印出行号

下边这几个命令指出打开某文件的进程

lsof `which httpd` #那个进程在使用apache的可执行文件 lsof /etc/passwd #那个进程在占用/etc/passwd lsof /dev/hda6 #那个进程在占用hda6 lsof /dev/cdrom #那个进程在占用光驱

lsof `which httpd` #那个进程在使用apache的可执行文件 lsof /etc/passwd #那个进程在占用/etc/passwd lsof /dev/hda6 #那个进程在占用hda6 lsof /dev/cdrom #那个进程在占用光驱

下边将会打印出占用httpd可执行文件的进程的进程号（仅仅是进程号，在编写shell脚本是有用）

lsof -t `which httpd`

lsof -t `which httpd`

显示出那些文件被以k打头的进程名的进程打开，以bash打头，和以init打头：

lsof -c k lsof -c bash lsof -c init

lsof -c k lsof -c bash lsof -c init

显示出那些文件被以courier打头的进程打开，但是并不属于用户‘zahn’

lsof -c courier -u ^zahn

lsof -c courier -u ^zahn

显示被zahn和apache打开的文件

lsof -u apache,zahn

lsof -u apache,zahn

显示那些文件被pid为30297的进程打开：

lsof +p 30297

lsof +p 30297

显示所有在/tmp文件夹中打开的instance和文件的进程。但是symbol文件并不在列

lsof -D /tmp

lsof -D /tmp

显示所有打开的端口

lsof -i

lsof -i

显示所有打开80端口的进程

lsof -i:80

lsof -i:80

显示所有打开的端口和UNIX domain文件：

lsof -i -U

lsof -i -U

显示那些进程打开了到www.akadia.com的UDP的123(ntp)端口的链接：

lsof -iUDP@www.akadia.com:123

lsof -iUDP@www.akadia.com:123

—————————————————-
translated from @ www.akadia.com

thank 寂寞烈火 for the reason of http://bbs.chinaunix.net/viewthr … &extra=page%3D5
—————————————————–
lsof还有很多参数，如果能够熟练使用将会对日常的系统管理非常有用。希望大家把一些还知道得技巧加以补充