论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-06-03 00:09 |只看该作者 |倒序浏览

Solaris lsof使用技巧\r\n出处:http://www.eygle.com/digest ，原作者未知\r\n一.LSOF使用技巧 \r\n\r\n\r\nlsof的功能很多，特別提醒大家， -c，-g，-p，-u，这四个参数最有用。更详细的资料请参看：man lsof。以下给大家介绍一下我在工作中，经常使用的技巧：\r\n1、查看文件系统阻塞\r\n根据工作需要，系统管理员想卸载一个文件系统并执行umount /mountpoint，但程序报告常常显示：umount: /mountpoint: device is busy；这是因为该文件系统上有正在打开的文件而不允许你这么做。这时，我们需要知道哪些文件、程序及用户仍在使用该系统，以便通知用户退出该系统，可以使用lsof识别正在打开一个特定文件系统的进程，执行如下命令：\r\n/usr/sbin/lsof /mountpoint\r\n在这里，mountpoint就是安装位置。例如：\r\n# /usr/sbin /lsof /home\r\nCOMMAND PID USER FD TYPE DEVICE SIZE NODE NAME\r\nbash 12134 meng cwd DIR 8,5 4096 32705 /home/meng\r\ntelnet 12176 meng cwd DIR 8,5 4096 32705 /home/meng\r\nbash 19809 meng cwd DIR 8,5 4096 32705 /home/meng\r\nbash 20276 meng cwd DIR 8,5 4096 32705 /home/meng\r\nsu 20315 root cwd DIR 8,5 4096 32705 /home/meng\r\nbash 20316 root cwd DIR 8,5 4096 32705 /home/meng\r\ncsh 20374 root cwd DIR 8,5 4096 32705 /home/meng\r\nlsof 20396 root cwd DIR 8,5 4096 32705 /home/meng\r\nlsof 20397 root cwd DIR 8,5 4096 32705 /home/meng\r\n显然，所有使用这些被打开的文件的进程都需要在文件系统能够被卸载前被终止。管理员以root身份，kill掉占用这个文件系统的进程，解除文件系统阻塞。 \r\n\r\n\r\n2、搜索打开的网络连接\r\n如果想搜索IP地址为10.645.64.23的远程连接主机的所有网络连接,可以执行如下命令:\r\n/usr/sbin/lsof -i@10.65.64.23可以打开系统中该远程知己所有打开的套接字。\r\n# lsof -i@10.65.64.23\r\nCOMMAND PID USER FD TYPE DEVICE SIZE/OFF INODE NAME\r\ntelnetd 6605 root 0u inet 0x14813f00 0t0 TCP xpp3:telnet->;linuxone:33143 (ESTABLISHED)\r\ntelnetd 6605 root 1u inet 0x14813f00 0t0 TCP xpp3:telnet->;linuxone:33143 (ESTABLISHED)\r\ntelnetd 6605 root 2u inet 0x14813f00 0t0 TCP xpp3:telnet->;linuxone:33143 (ESTABLISHED) \r\n\r\n3、寻找本地断开的打开文件\r\n用户经常遇到这种情况，当一个进程正在向一个文件写数据时，该文件的目录可能被移动。这就产生了一个非常大的问题。例如，用户可能发现正在向/data写数据，但是却看不到文件增大，LSOF这个工具可以找到这样的错误，例如：\r\n/usr/sbin/lsof +L1，通常可以看到下面的信息：\r\n# lsof +L1 \r\nCOMMAND PID USER FD TYPE DEVICE SIZE/OFF NLINK NODE NAME\r\nsvrMgt_mi 458 root 4r VREG 8,0 0 0 3418 / (/dev/rz0a)\r\nyes 677 root 1w VREG 8,0 186523648 0 92888 / (/de v/rz0a)\r\n# lsof +L1\r\nCOMMAND PID USER FD TYPE DEVICE SIZE/OFF NLINK NODE NAME\r\nsvrMgt_mi 458 root 4r VREG 8,0 0 0 3418 / (/dev/rz0a)\r\nyes 677 root 1w VREG 8,0 273588224 0 92888 / (/dev/rz0a)\r\n我们可以用kill -9 PID命令来结束PID显示的命令排除错误，释放空间。\r\n我们还可以用-a选项来限制lsof报告单文件系统中的链接数量。例如，为了限制到/data部分的输出，可以输入：/usr/sbin/lsof -a +L1 /data \r\n\r\n4、搜索被程序打开的所有文件及打开的文件相关联进程\r\n如果想知道执行PID号为637的sendmail命令打开了哪些文件的话，可以执行lsof -p 637命令。输出的结果如下：\r\n# lsof -p 637\r\nCOMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME\r\nsendmail 637 root cwd VDIR 8,6 512 470400 /usr/var/spool/mqueue\r\nsendmail 637 root txt VREG 8,6 466944 9650 /usr (/dev/rz0g)\r\nsendmail 637 root txt VREG 8,0 139264 16016 /sbin/loader\r\nsendmail 637 root txt VREG 8,0 1663104 38402 /shlib/libc.so\r\nsendmail 637 root 0r VCHR 2,2 0t0 9607 /dev/null\r\nsendmail 637 root 1w VCHR 2,2 0t0 9607 /dev/null\r\nsendmail 637 root 2w VCHR 2,2 0t0 9607 /dev/null\r\nsendmail 637 root 3u unix 0x0c2fc280 0t0 ->;0x1ead2b40\r\nsendmail 637 root 4u inet 0x0c34c200 0t0 TCP *:smtp (LISTEN)\r\n上述输出信息显示了该程序当前打开的所有文件、设备、库及套接字等。\r\n执行下面的命令可以发现哪些进程正在使用某个特定的文件，如下所示，可以看出，只有系统记录后台进程syslogd打开messages这个文件。\r\n# lsof /var/adm/messages\r\nCOMMAND PID USER FD TYPE DEVICE SIZE/OFF INODE NAME\r\nsyslogd 147 root 16w VREG 8,6 2653365 22501 /usr/var/adm/messages\r\n\r\n5、其它使用命令(更详细的资料请man lsof，这部分参看了一些资料给大家总结一下)\r\n若沒有加上任何的参数，lsof 会列出所有被程序打开的文件。\r\n 参数可以相互结合，ex: -a -b -c 等同于 -abc\r\n-? -h 这两个参数意思相同，显示出 lsof 的使用说明。\r\n\r\n-a 参数被视为 AND （注意:-a参数一但加上，会影响全部的参数。）\r\n\r\n-c c 显示出以字母 c开头进程现在打开的文件\r\n 例:显示以init进程现在打开的文件\r\n# lsof -c init\r\nCOMMAND PID USER FD TYPE DEVICE SIZE/OFF INODE NAME\r\ninit 1 root cwd VDIR 4095,365376 8192 2 /\r\ninit 1 root txt VREG 4095,365376 286720 463 /sbin/init\r\n\r\n+d s 依照文件夹s来搜寻，此参数将不会继续深入搜寻此文件夹\r\n例:显示在/usr/users/tongxl目录下被程序正在打开的文件(如下所示)\r\n# lsof +d /usr/users/tongxl\r\nCOMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME\r\nksh 26946 root cwd VDIR 8,6 512 51281 /usr/users/tongxl/c\r\na.out 26953 root cwd VDIR 8,6 512 51281 /usr/users/tongxl/c\r\n\r\n+D D 同上，但是会搜索目录下的目录，时间较长。（注意︰lsof以此参数进行时，须花费较多的动态记忆体。尤其在处理较大的文件夹时，请务必审慎使用之。）\r\n例:显示在/usr/local/文件夹下被程序正在打开的文件(如下)很明显可以看出二者的差别\r\n# lsof +D /usr/users/tongxl\r\nCOMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME\r\nksh 26946 root cwd VDIR 8,6 512 51281 /usr/users/tongxl/c\r\na.out 26953 root cwd VDIR 8,6 512 51281 /usr/users/tongxl/c\r\na.out 26953 root txt VREG 8,6 24576 51311 /usr/users/tongxl/c/a.out\r\n\r\n-d s 此参数以file descriptor (FD)值显示结果，可以采用范围表示，如 1-3 或 3-10 但最前面的数一定要比最后面的数小。 \r\n 举例:以FD为4显示\r\n# lsof -d 4\r\nCOMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME\r\nsyslogd 147 root 4u inet 0x1fe0b980 0t0 UDP *:syslog\r\nbinlogd 151 root 4u inet 0x1fe0bd40 0t0 UDP *:*\r\nportmap 319 root 4u inet 0x1fe0b740 0t0 UDP *:111\r\nmountd 321 root 4u VREG 8,6 253 22516 /usr (/dev/rz0g)\r\nnfsd 323 root 4u inet 0x0c349e00 0t0 TCP *:2049 (LISTEN)\r\nrpc.statd 330 root 4u inet 0x1ab42000 0t0 TCP xpp3:1024 (LISTEN)\r\nrpc.lockd 332 root 4u inet 0x1fe0bbc0 0t0 UDP xpp3:1028\r\nsnmpd 449 root 4u unix 0x1aaf6500 0t0 /var/esnmp/esnmpd\r\nsvrMgt_mi 457 root 4r VREG 8,0 0 3424 / (/dev/rz0a)\r\nos_mibs 458 root 4u inet 0x1ab475c0 0t0 UDP *:*\r\ncpq_mibs 460 root 4u unix 0x1aaf77c0 0t0 /var/esnmp/esnmp_sub460\r\nadvfsd 472 root 4u inet 0x0c320000 0t0 TCP *:AdvFS (LISTEN)\r\ninsightd 475 root 4r VDIR 8,6 512 25610 /usr (/dev/rz0g)\r\ninetd 506 root 4u inet 0x1ab26700 0t0 TCP *:ftp (LISTEN)\r\nlpd 567 root 4wW VREG 8,6 4 451219 /usr (/dev/rz0g)\r\ndtlogin 605 root 4w VREG 8,6 4 344028 /usr (/dev/rz0g)\r\nXdec 616 root 4w VREG 8,6 4 344028 /usr (/dev/rz0g)\r\nsendmail 702 root 4u inet 0x0c321900 0t0 TCP *:smtp (LISTEN)\r\ndtlogin 891 root 4w VREG 8,6 4 344028 /usr (/dev/rz0g)\r\ndxconsole 907 root 4w VREG 8,6 4 344028 /usr (/dev/rz0g)\r\ndtgreet 908 root 4w VREG 8,6 4 344028 /usr (/dev/rz0g)\r\n\r\n-g 以程序的PGID (process group IDentification)显示，也可以采用范围(1-3)或个别(3,5)表示，若没有特别指定，则显示全部。\r\n 举例:以PGID为3显示\r\n# lsof -g 3\r\nCOMMAND PID PGID USER FD TYPE DEVICE SIZE/OFF NODE NAME\r\nkloadsrv 3 3 root cwd VDIR 8,0 2560 2 /\r\nkloadsrv 3 3 root txt VREG 8,0 221184 16041 /sbin/kloadsrv\r\nkloadsrv 3 3 root 0r VCHR 0,0 0t0 9608 /dev/console\r\nkloadsrv 3 3 root 1w VCHR 0,0 0t0 9608 /dev/console\r\nkloadsrv 3 3 root 2w VCHR 0,0 0t0 9608 /dev/console\r\n\r\n-i 用以监听有关的任何符合的位址。\r\n 若没有相关位置被指定，则监听全部。\r\n 语法: lsof -i[46] [protocol][@hostname|hostaddr][:service|port]\r\n 46 -->; IPv4 or IPv6\r\n protocol -->; TCP or UDP\r\n hostname -->; Internet host name\r\n hostaddr -->; IPv4位置\r\n service -->; /etc/service中的 service name (可以不只一个)\r\n port -->; 埠号 (可以不只一个)\r\n# lsof -i tcp@xp001 \r\nCOMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME\r\ntelnetd 26862 root 0u inet 0x0c349000 0t0 TCP xpp3:telnet->;xp001:3807 (ESTABLISHED)\r\ntelnetd 26862 root 1u inet 0x0c349000 0t0 TCP xpp3:telnet->;xp001:3807 (ESTABLISHED)\r\ntelnetd 26862 root 2u inet 0x0c349000 0t0 TCP xpp3:telnet->;xp001:3807 (ESTABLISHED)\r\ntelnetd 26986 root 0u inet 0x1ab27100 0t0 TCP xpp3:telnet->;xp001:3988 (ESTABLISHED)\r\ntelnetd 26986 root 1u inet 0x1ab27100 0t0 TCP xpp3:telnet->;xp001:3988 (ESTABLISHED)\r\ntelnetd 26986 root 2u inet 0x1ab27100 0t0 TCP xpp3:telnet->;xp001:3988 (ESTABLISHED)\r\n\r\n-l 此参数禁止将user ID转换为登入名称。(预设显示登入名称)\r\n# lsof -l|more\r\nCOMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME\r\nkernel 0 0 cwd VDIR 8,0 2560 2 /\r\ninit 1 0 cwd VDIR 8,0 2560 2 /\r\ninit 1 0 txt VREG 8,0 286720 16015 / (/dev/rz0a)\r\nkloadsrv 3 0 cwd VDIR 8,0 2560 2 /\r\nkloadsrv 3 0 txt VREG 8,0 221184 16041 /sbin/kloadsrv\r\nkloadsrv 3 0 0r VCHR 0,0 0t0 9608 /dev/console\r\nkloadsrv 3 0 1w VCHR 0,0 0t0 9608 /dev/console\r\nkloadsrv 3 0 2w VCHR 0,0 0t0 9608 /dev/console\r\n\r\n+|-L [l] +或-表示正在打开或取消显示文件连结数. 若只有单纯的+L，后面没有任何数字，则表示显示全部。若其后有加上数字，只有文件连结数少于该数字的会被列出。\r\n\r\n-n 不将IP位址转换成hostname，预设是不加上-n参数。\r\n 举例: lsof -i tcp@xp001 -n\r\n (您可以和上两张图比较一下，原先的hostname便回ip位置了)\r\n# lsof -i tcp@xp001 -n\r\nCOMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME\r\ntelnetd 26862 root 0u inet 0x0c349000 0t0 TCP 10.65.69.147:telnet->;10.65.69.131:3807 (ESTABLISHED)\r\ntelnetd 26862 root 1u inet 0x0c349000 0t0 TCP 10.65.69.147:telnet->;10.65.69.131:3807 (ESTABLISHED)\r\ntelnetd 26862 root 2u inet 0x0c349000 0t0 TCP 10.65.69.147:telnet->;10.65.69.131:3807 (ESTABLISHED)\r\ntelnetd 26986 root 0u inet 0x1ab27100 0t0 TCP 10.65.69.147:telnet->;10.65.69.131:3988 (ESTABLISHED)\r\ntelnetd 26986 root 1u inet 0x1ab27100 0t0 TCP 10.65.69.147:telnet->;10.65.69.131:3988 (ESTABLISHED)\r\ntelnetd 26986 root 2u inet 0x1ab27100 0t0 TCP 10.65.69.147:telnet->;10.65.69.131:3988 (ESTABLISHED)\r\n# lsof -i tcp@xp001 \r\nCOMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME\r\ntelnetd 26862 root 0u inet 0x0c349000 0t0 TCP xpp3:telnet->;xp001:3807 (ESTABLISHED)\r\ntelnetd 26862 root 1u inet 0x0c349000 0t0 TCP xpp3:telnet->;xp001:3807 (ESTABLISHED)\r\ntelnetd 26862 root 2u inet 0x0c349000 0t0 TCP xpp3:telnet->;xp001:3807 (ESTABLISHED)\r\ntelnetd 26986 root 0u inet 0x1ab27100 0t0 TCP xpp3:telnet->;xp001:3988 (ESTABLISHED)\r\ntelnetd 26986 root 1u inet 0x1ab27100 0t0 TCP xpp3:telnet->;xp001:3988 (ESTABLISHED)\r\ntelnetd 26986 root 2u inet 0x1ab27100 0t0 TCP xpp3:telnet->;xp001:3988 (ESTABLISHED)\r\n\r\n-s 列出文件的大小，若该文件没有大小，则留下空白。\r\n# lsof -s\r\nCOMMAND PID USER FD TYPE DEVICE SIZE NODE NAME\r\nkernel 0 root cwd VDIR 8,0 2560 2 /\r\ninit 1 root cwd VDIR 8,0 2560 2 /\r\ninit 1 root txt VREG 8,0 286720 16015 / (/dev/rz0a)\r\nkloadsrv 3 root cwd VDIR 8,0 2560 2 /\r\nkloadsrv 3 root txt VREG 8,0 221184 16041 /sbin/kloadsrv\r\nkloadsrv 3 root 0r VCHR 0,0 9608 /dev/console\r\nkloadsrv 3 root 1w VCHR 0,0 9608 /dev/console\r\nkloadsrv 3 root 2w VCHR 0,0 9608 /dev/console\r\n\r\n-u s 以login name(登入名称)或UID，列出所正在打开文件。\r\n# lsof -u tongxl\r\nCOMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME\r\ncsh 26939 tongxl cwd VDIR 8,6 1024 243236 /usr -- tongxl\r\ncsh 26939 tongxl txt VREG 8,6 253952 12856 /usr (/dev/rz0g)\r\ncsh 26939 tongxl txt VREG 8,0 139264 16016 /sbin/loader\r\ncsh 26939 tongxl txt VREG 8,0 1663104 38402 /shlib/libc.so\r\ncsh 26939 tongxl 0r VCHR 1,0 0t0 9612 /dev/tty\r\ncsh 26939 tongxl 15u VCHR 6,2 0t328 9618 /dev/pts/2\r\ncsh 26939 tongxl 16u VCHR 6,2 0t328 9618 /dev/pts/2\r\ncsh 26939 tongxl 17u VCHR 6,2 0t328 9618 /dev/pts/2\r\ncsh 26939 tongxl 18u VCHR 6,2 0t328 9618 /dev/pts/2\r\ncsh 26939 tongxl 19u VCHR 6,2 0t328 9618 /dev/pts/2\r\ncsh 26990 tongxl cwd VDIR 8,6 1024 243236 /usr -- tongxl\r\ncsh 26990 tongxl txt VREG 8,6 253952 12856 /usr (/dev/rz0g)\r\ncsh 26990 tongxl txt VREG 8,0 139264 16016 /sbin/loader\r\ncsh 26990 tongxl txt VREG 8,0 1663104 38402 /shlib/libc.so\r\ncsh 26990 tongxl 0r VCHR 1,0 0t0 9612 /dev/tty\r\ncsh 26990 tongxl 15u VCHR 6,1 0t147797 9616 /dev/pts/1\r\ncsh 26990 tongxl 16u VCHR 6,1 0t147797 9616 /dev/pts/1\r\ncsh 26990 tongxl 17u VCHR 6,1 0t147797 9616 /dev/pts/1\r\ncsh 26990 tongxl 18u VCHR 6,1 0t147797 9616 /dev/pts/1\r\ncsh 26990 tongxl 19u VCHR 6,1 0t147797 9616 /dev/pts/1

twlogin twlogin 当前离线禁止访问好友博客消息论坛徽章: 0	2楼 [报告] 发表于 2008-06-03 14:00 \|只看该作者提示: 作者被禁止或删除内容自动屏蔽
twlogin twlogin 当前离线禁止访问好友博客消息论坛徽章: 0	实战分享：从技术角度谈机器学习入门\| 【大话IT】RadonDB低门槛向MySQL集群下战书 \| ChinaUnix打赏功能已上线！ \| 新一代分布式关系型数据库RadonDB知多少？

wolfchyu

丰衣足食

论坛徽章:: 0

3楼 [报告]

发表于 2008-06-03 23:40 |只看该作者

这是一个工具，需要另下的，但是很好用

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › 备份版区 › Solaris › LSOF的详细用法介绍

twlogin twlogin 当前离线禁止访问好友博客消息论坛徽章: 0	2楼 [报告] 发表于 2008-06-03 14:00 \|只看该作者提示: 作者被禁止或删除内容自动屏蔽
twlogin twlogin 当前离线禁止访问好友博客消息论坛徽章: 0	实战分享：从技术角度谈机器学习入门\| 【大话IT】RadonDB低门槛向MySQL集群下战书 \| ChinaUnix打赏功能已上线！ \| 新一代分布式关系型数据库RadonDB知多少？

LSOF的详细用法介绍 [复制链接]

浏览过的版块