如果Linux中的所有东西都是一个文件，那么除了硬盘上的文件之外，还必须有更多的内容。本教程将向您展示如何使用lsof查看作为文件处理的所有其他设备和进程。

在linux上，一切都是一个文件

经常被引用的一句话是，Linux中的所有东西都是一个文件。文件是字节的集合。当它们被读入程序或发送到打印机时，它们似乎会生成一个字节流。当它们被写入时，它们接受字节流。

许多其他系统组件接受或生成字节流，例如键盘、套接字连接、打印机和通信进程。因为它们要么接受、生成，要么接受并生成字节流，所以这些设备可以在非常低的级别上进行处理，就好像它们是文件一样。

这个设计概念简化了Unix操作系统的实现。这意味着可以创建一小组处理程序、工具和api来处理各种不同的资源。

硬盘上的数据和程序文件是普通的旧文件系统文件。我们可以使用ls命令列出它们并找出它们的一些细节。

我们如何找出所有被当作文件处理的其他进程和设备？我们使用lsof命令。列出系统中打开的文件。也就是说，它列出了正在处理的所有内容，就像它是一个文件一样。

相关：在Linux中，“一切都是文件”是什么意思？

lsof命令

lsof可以报告的许多进程或设备属于root或者是由root启动的，因此您需要对lsof使用sudo命令。

因为这个列表会很长，所以我们将通过更少的管道来完成它。

在lsof输出出现之前，GNOME用户可能会在终端窗口中看到一条警告消息。

lsof尝试处理所有装入的文件系统。引发此警告消息的原因是lsof遇到了GNOME虚拟文件系统（GVFS）。这是用户空间文件系统（FUSE）的一个特例。它充当了GNOME、其API和内核之间的桥梁。除了挂载它的所有者（在本例中是GNOME），没有人甚至连根用户都不能访问这些文件系统。您可以忽略此警告。

lsof的输出很宽。最左边的列是：

最右边的列是：

列的lsof

并非所有列都适用于所有类型的打开文件。其中有些是空白是正常的。

• Command：与打开文件的进程关联的命令的名称。
• PID：打开文件的进程的进程标识号。
• 任务（线程）标识号。空列表示它不是任务，而是进程。
• User：进程所属用户的用户ID或名称，或lsof在/proc中查找进程信息的目录所有者的用户ID或登录名。
• FD：显示文件的文件描述符。文件描述符描述如下。
• 类型：与文件关联的节点的类型。注意类型如下所述。
• 设备：包含字符特殊、块特殊、常规、目录或NFS文件的设备号（用逗号分隔），或标识该文件的内核引用地址。它还可能显示Linux AX.25套接字设备的基址或设备名。
• Size/Off：以字节为单位显示文件大小或文件偏移量。
• 节点：显示本地文件的节点号，或服务器主机中NFS文件的inode号，或internet协议类型。它可能显示流的STR或Linux AX.25套接字设备的IRQ或inode号。
• 名称：显示文件所在的装载点和文件系统的名称。

fd列

FD列中的文件描述符可以是许多选项之一；手册页列出了所有选项。

FD列条目可以由三部分组成：文件描述符、模式字符和锁字符。一些常见的文件描述符包括：

• cwd：当前工作目录。
• 错误：FD信息错误（请参阅“名称”列）。
• ltx：共享库文本（代码和数据）。
• m86:DOS合并映射文件。
• 内存映射文件。
• 内存映射设备。
• pd:父目录。
• rtd:根目录。
• txt：程序文本（代码和数据）
• 表示文件描述符的数字。

模式字符可以是以下之一：

• r：读访问。
• w：写访问。
• u:读写访问。
• ''：如果模式未知且没有锁定字符，则为空格字符。
• –：模式未知，存在锁定字符。

锁定字符可以是以下字符之一：

• r:读取部分文件的锁。
• R:读取整个文件的锁。
• w：在文件的一部分写锁。
• W：在整个文件上写锁。
• u：任意长度的读写锁。
• U:未知的锁类型。
• ''：一个空格字符。没有锁。

“类型”列

类型列中可能会出现70多个条目。您将看到一些常见条目：

• 常规文件系统文件。
• 目录：目录。
• 先进先出：先进先出。
• 字符特殊文件。
• BLK:阻止特殊文件。
• INET：互联网插座。
• unix:unix域套接字

请参阅已打开文件的进程

要查看已打开某个文件的进程，请将文件名作为lsof的参数提供。例如，查看已打开的进程内核日志文件，使用以下命令：

lsof通过显示由用户syslog启动的单个进程rsyslogd来响应。

查看从目录打开的所有文件

要查看从目录中打开的文件以及打开这些文件的进程，请将目录作为参数传递给lsof。必须使用+D（目录）选项。

要查看在/var/log/目录中打开的所有文件，请使用以下命令：

lsof用该目录中所有打开文件的列表来响应。

要查看从/home目录打开的所有文件，请使用以下命令：

显示已从/home目录打开的文件。请注意，由于某些列中的描述较短，因此整个列表的范围较窄。

列出进程打开的文件

要查看由特定进程打开的文件，请使用-c（命令）选项。请注意，您可以一次向lsof提供多个搜索项。

lsof提供已由命令行上提供的任一进程打开的文件的列表。

查看用户打开的文件

要将显示限制为特定用户已打开的文件，请使用-u（用户）选项。在本例中，我们将查看由代表Mary拥有或启动的进程打开的文件。

列出的所有文件都已代表用户Mary打开。这包括已被桌面环境打开的文件，例如，或者仅仅由于Mary已登录而打开的文件。

排除用户打开的文件

要排除用户已打开的文件，请使用“^”运算符。将用户排除在列表之外可以更容易地找到您感兴趣的信息。必须像以前一样使用-u选项，并在用户名的开头添加“^”字符。

这次，/home目录的列表不包括用户Mary打开的任何文件。

列出进程打开的文件

要列出由特定进程打开的文件，请使用-p（进程）选项并提供进程ID作为参数。

您提供的进程ID已打开的所有文件都将列出。

列出已打开文件的进程ID

要查看已打开特定文件的进程的进程ID，请使用-t（简写）选项并在命令行中提供文件名。

进程ID显示在一个简单的列表中。

使用和或搜索

让我们列出用户Mary打开的与SSH进程相关的文件。我们知道我们可以在命令行上提供多个搜索项，所以这应该很容易。

现在让我们看看lsof的输出。这看起来不对；输出中有由root启动的条目。

这不是我们所期望的。怎么搞的？

当您提供多个搜索项时，lsof将返回与第一个搜索项或第二个搜索项匹配的任何文件，依此类推。换句话说，它执行OR搜索。

要使lsof执行AND搜索，请使用-a（AND）选项。这意味着只列出与第一个搜索项和第二个搜索项匹配的文件，依此类推。

让我们再试一次，然后使用-a选项。

现在，清单中的每个文件都是由Mary或代表Mary打开的，并且与SSH命令关联。

自动刷新显示

我们可以使用+|-r（repeat）选项将lsof置于repeat模式。repeat选项有两种应用方式，+r或-r。我们还必须添加lsof在刷新显示之前要等待的秒数。

在任何一种格式中使用repeat选项都会使lsof像往常一样显示结果，但会在显示的底部添加一条虚线。它等待命令行提供的秒数，然后用一组新的结果刷新显示。

对于-r选项，此操作将继续，直到您按Ctrl+C为止。对于+r格式，此操作将继续，直到没有要显示的结果，或者直到您按Ctrl+C为止。

请注意清单底部的虚线。当输出被刷新时，这将分隔每个新的数据显示。

显示与internet连接关联的文件

i（internet）选项允许您查看与网络和internet连接相关联的进程打开的文件。

将显示通过网络和internet连接打开的所有文件。

按进程id显示与internet连接关联的文件

要查看与特定进程ID关联的internet连接打开的文件，请添加-p选项和-a选项。

在这里，我们正在寻找通过internet或网络连接打开的文件，通过ID为606的进程。

显示由进程ID 606打开的与因特网或网络连接相关联的所有文件。

显示与internet连接和命令关联的文件

我们可以使用-c（command）选项来查找由特定进程打开的文件。要查找已由internet或与ssh进程关联的网络连接打开的文件，请使用以下命令：

由于ssh进程而打开的所有文件都列在输出中。

显示与internet连接和端口关联的文件

我们可以在特定端口上对通过internet或网络连接打开的文件进行lsof报告。为此，我们使用：字符后跟端口号。

在这里，我们要求lsof列出通过网络或internet连接使用端口22打开的文件。

所有列出的文件都是由与端口22（SSH连接的默认端口）关联的进程打开的。

显示与internet连接和协议相关的文件

我们可以要求lsof显示与使用特定协议的网络和internet连接相关联的进程所打开的文件。我们可以从TCP、UDP和SMTP中进行选择。让我们使用TCP协议，看看我们得到了什么。

列出的文件只有那些由使用TCP协议的进程打开的文件。

我们只触及了表面

在lsof的一些常见用例中，这是一个很好的基础，但是还有更多的地方。手册页的长度超过2800行，这就可以判断出还有多少内容。

lsof命令可以用来深入到打开文件和伪文件的地层中。我们提供了一张示意图，地图册在手册页上。