Ievads Lsof

Operētājsistēmā Linux daudzi objekti tiek uzskatīti par failiem neatkarīgi no tā, vai objekts patiesībā ir fails, ierīce, direktorijs vai ligzda. Faila uzskaitīšana ir vienkārša, tam ir iebūvēts apvalks ls. Bet ko darīt, ja lietotājs vēlas redzēt, kurus failus pašlaik atver tīmekļa servera process? Vai arī, ja lietotājs vēlas uzzināt, kuri faili tiek atvērti noteiktā direktorijā? Tas ir vieta, kur lsofspēlē. Iedomājieties lsofkā lsar pievienošanu "atvērtie faili".

Lūdzu, ņemiet vērā, ka, lai gan BSD šim darbam ir cita lietderība, fstat, vairākām citām Unix versijām (piemēram, Solaris) ir arī lsof. Opcijas un karodziņi citās platformās atšķiras, kā arī izvades izskats, taču kopumā šajā rakstā sniegtajām zināšanām vajadzētu būt piemērojamām arī tām.

Vispirms apskatīsim lsofizvades formātu un to, kā tas ir jālasa. Parastā izvade lsofbez parametriem būtu līdzīga šādai. Tas ir apgriezts lasāmības labad.

COMMAND    PID  TID       USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
init         1            root  cwd       DIR              254,1      4096          2 /
init         1            root  rtd       DIR              254,1      4096          2 /
init         1            root  txt       REG              254,1     36992    7077928 /sbin/init
init         1            root  mem       REG              254,1     14768    7340043 /lib/x86_64-linux-gnu/libdl-2.13.so
init         1            root  mem       REG              254,1   1603600    7340040 /lib/x86_64-linux-gnu/libc-2.13.so
init         1            root  mem       REG              254,1    126232    7340078 /lib/x86_64-linux-gnu/libselinux.so.1
init         1            root  mem       REG              254,1    261184    7340083 /lib/x86_64-linux-gnu/libsepol.so.1
init         1            root  mem       REG              254,1    136936    7340037 /lib/x86_64-linux-gnu/ld-2.13.so
init         1            root   10u     FIFO               0,14       0t0       4781 /run/initctl

Šīs kolonnas nozīmē:

• KOMANDA — process, kuram pieder atvērts fails, šajā piemērā viss ir saistīts ar init.
• PID — minētā procesa procesa identifikācijas numurs.
• LIETOTĀJS — lietotājs, kura pakļautībā notiek process. Attiecībā uz init, tas ir gandrīz vienmēr root.
• FD — faila faila deskriptors, visizplatītākais ir:
  • cwd- Pašreizējais darba direktorijs (iespējams, pamanīsit līdzību ar pwdkomandu, kas drukā pašreizējo darba direktoriju).
  • rtd - procesa saknes direktorijs.
  • txt- A text file, tas var nozīmēt ar procesu saistītu konfigurācijas failu vai ar procesu saistīto (vai tam piederošo) "avota kodu".
  • mem - Tā sauktais "atmiņas kartēšanas fails", kas nozīmē virtuālās atmiņas (lasīt: RAM) segmentu, kas ir piešķirts failam.
  • Skaitlis — cipars apzīmē faktisko faila deskriptoru, rakstzīme aiz cipara ir veids, kādā fails tiek atvērts:
  • r - Izlasi.
  • w - Raksti.
  • u - Lasi un raksti.
• TIPS — norāda faktisko faila veidu, visizplatītākie ir:
  • REG - Parasts fails.
  • DIR - Katalogs.
  • FIFO - Pirmais iekšā, pirmais ārā.
• IERĪCE — tās ierīces galvenais un mazākais numurs, kurā atrodas fails.
• IZMĒRS — faila lielums baitos.
• NODE — faila inoda numurs.
• NOSAUKUMS — faila nosaukums.

Pagaidām tas varētu būt nedaudz satriecoši, taču, ja strādājat ar lsofdažām reizēm, tas ātri iegrims jūsu smadzenēs.

Kā minēts iepriekš, izlaide lsofšeit ir saīsināta. Bez jebkādiem argumentiem vai filtriem lsofrada simtiem izvades rindu, kas jūs tikai apmulsīs.

Šīs problēmas risināšanai ir divas pamata pieejas:

• Izmantojiet vienu vai vairākas lsofkomandrindas opcijas, lai sašaurinātu rezultātus.
• Izvadiet izvadi caur, piemēram, grep.

Lai gan pēdējā iespēja var izklausīties ērtāk, jo jums nav jāiegaumē lsofkomandrindas opcijas, tā parasti nav tik elastīga un efektīva, tāpēc mēs paliksim pie pirmās.

Iedomāsimies, ka vēlaties atvērt failu ar savu iecienītāko teksta redaktoru un teksta redaktors norāda, ka to var atvērt tikai lasīšanas režīmā, jo tam jau piekļūst cita programma. lsofpalīdzēs jums noskaidrot, kurš ir vainīgais:

lsof /path/to/your/file

Tas radīs līdzīgu izvadi:

COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
vim 2679 root    5w   REG  254,1   121525 6035622 /root/lsof.txt

Acīmredzot jūs aizmirsāt aizvērt un vecāka sesija! Ļoti līdzīga problēma rodas, mēģinot atvienot NFS koplietojumu un paziņot, umountka to nevar izdarīt, jo kaut kas joprojām piekļūst pievienotajai mapei. Atkal, lsofvar palīdzēt noteikt vainīgo:

lsof +D /path/to/your/directory/

Ievērojiet beigu slīpsvītru, tas ir svarīgi. Pretējā gadījumā lsoftiks pieņemts, ka jūs domājat parastu failu. Neļaujiet sevi mulsināt ar +karoga priekšā — tajā lsofir tik daudz komandrindas opciju, kas nepieciešamas +papildus biežāk sastopamajām -. Izvade izskatītos šādi:

COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF      NODE NAME
mocp    5637  music    4r   REG   0,19 10147719 102367344 /home/Music/RMS_GNU_SONG.ogg

Tas nozīmē, ka process mocpar PID 5637, kas pieder lietotājam, musicir atvēris failu ar nosaukumu RMS_GNU_SONG.ogg. Tomēr pat pēc šī procesa aizvēršanas joprojām pastāv problēma — NFS sējumu nevar atvienot.

lsofir -ckarodziņš, kas parāda atvērto failu patvaļīgu procesa nosaukumu.

lsof -c mocp

Tas radītu izvadi, kas izskatītos šādi:

mocp    9383  music    4r   REG   0,19 10147719 102367344 /home/Music/ANOTHER_RMS_GNU_SONG.ogg

Šajā piemērā ir vēl viens darbības gadījums mocp, kas neļauj atvienot koplietojumu. Pēc šī procesa izslēgšanas vēlaties pārliecināties, vai lietotājam musicnav atvērti citi potenciāli problemātiski faili. lsofir -ukarodziņš, kas parāda konkrēta lietotāja atvērtus failus. Atcerieties, ka fails ne vienmēr ir tikai parasts fails jūsu cietajā diskā!

lsof -u music

Varat arī nodot vairākus lietotājus, atdalot tos ar komatiem:

lsof -u music,moremusic

Svarīga piezīme par noklusēto uzvedību lsof: rezultāti ir OR balstītas, kas nozīmē, ka jūs redzat failu rezultātus atvērtas ar procesiem, kas pieder vai nu lietotājs musicvai lietotājs moremusic. Ja vēlaties redzēt rezultātus, kas atbilst abiem lietotājiem piederošiem procesiem, jums ir jānodod karodziņa -a:

lsof -au music, moremusic

Tā kā abi lietotāji ir grupā musicusers, varat arī uzskaitīt failus, pamatojoties uz grupu:

lsof -g musicusers

Varat arī apvienot komandrindas karogus:

lsof -u music,moremusic -c mocp

or

lsof -u ^music +D /home/Music

Pēdējā rindā mēs pievienojām vēl vienu īpašu karogu - ^, kas apzīmē loģisku NOT . Ja pēc šīs komandas palaišanas izvade ir tukša, atvienošana, visticamāk, būs veiksmīga.

Iepriekšējos piemēros mēs galvenokārt apskatījām parastos failus. Kā ar rozetēm un tīkla savienojumiem?

Lai uzskaitītu visus pašreizējos tīkla savienojumus, lsofir -ikarodziņa:

lsof -i

Rezultāts izskatās līdzīgs tam, ko esam redzējuši līdz šim...

COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
owncloud  3509  myuser   25u  IPv4  44946      0t0  TCP strix.local:34217->myserver.vultr.com:https (ESTABLISHED)
firefox   3612  myuser   82u  IPv4  49663      0t0  TCP strix.local:43897->we-in-f100.1e100.net:https (ESTABLISHED)
ssh       3784  myuser    3u  IPv4  10437      0t0  TCP strix.local:51416->someserver.in:ssh (ESTABLISHED)
wget      4140  myuser    3w  IPv4  45586      0t0  TCP strix.local:54460->media.ccc.de:http (CLOSE_WAIT)

... izņemot vienu atšķirību: failu nosaukumu vai direktoriju vietā kolonnā NAMEtagad tiek rādīta savienojuma informācija. Katrs savienojums sastāv no šādām daļām:

• Protokols.
• Vietējais saimniekdatora nosaukums.
• Savienojuma avota ports.
• Galamērķa DNS nosaukums.
• Galamērķa osta.
• Savienojuma statuss.

Tāpat kā ar daudzām citām rīku, varat atteikties no atrisināt DNS vārdu un ostu ( -nun -P, attiecīgi). Karogam ir -inepieciešami papildu parametri. Jūs varat norādīt, vai, lai parādītu tcp, udpvai icmpsavienojumi vai noteiktas porti:

lsof -i :25
or
lsof -i :smtp

Atkal parametrus var apvienot. Nākamais piemērs...

lsof -i tcp:80

... parādīs tikai TCP savienojumus, izmantojot portu 80. Varat arī apvienot to ar opcijām, kuras jau zināt no "klasiskajiem" failiem:

lsof -a -u httpd -i tcp

Tas parādīs visus lietotāja atvērtos TCP savienojumus httpd. Ņemiet vērā -akarogu, kas maina noklusējuma darbību lsof(kā minēts iepriekš). Tāpat kā lielākajā daļā komandrindas rīku, varat iedziļināties ļoti dziļi. Tālāk tiks parādīti tikai tie TCP savienojumi, kuru statuss ir "IZVEIDOTS":

lsof -i -s TCP:ESTABLISHED

Šajā brīdī jums ir jābūt pamata izpratnei par lsofdarbību, kā arī dažiem izplatītiem lietošanas gadījumiem. Papildu lasīšanai skatiet lsofsavas sistēmas manlapu .