Увод у Лсоф

Под Линуком, многи објекти се сматрају датотеком, без обзира да ли је објекат заправо датотека, уређај, директоријум или сокет. Навођење датотеке је лако, за то је уграђена шкољка ls. Али шта ако корисник жели да види које датотеке тренутно отвара процес веб сервера? Или ако је тај корисник желео да сазна које су датотеке отворене у одређеном директоријуму? Ту lsofдолази у обзир. Замислите lsofкао lsса додатком "отворених датотека".

Имајте на уму да иако БСД-ови имају другачији услужни програм за овај посао fstat, неколико других укуса Уник-а (Соларис, на пример) такође поседује lsof. Опције и заставице су различите на другим платформама, као и изглед излаза, али генерално знање из овог чланка би требало да буде применљиво и на њих.

Прво, хајде да погледамо формат lsofизлаза и како треба да се чита. Уобичајени излаз lsofбез икаквих параметара би личио на следеће. Ово је исечено ради читљивости.

COMMAND    PID  TID       USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
init         1            root  cwd       DIR              254,1      4096          2 /
init         1            root  rtd       DIR              254,1      4096          2 /
init         1            root  txt       REG              254,1     36992    7077928 /sbin/init
init         1            root  mem       REG              254,1     14768    7340043 /lib/x86_64-linux-gnu/libdl-2.13.so
init         1            root  mem       REG              254,1   1603600    7340040 /lib/x86_64-linux-gnu/libc-2.13.so
init         1            root  mem       REG              254,1    126232    7340078 /lib/x86_64-linux-gnu/libselinux.so.1
init         1            root  mem       REG              254,1    261184    7340083 /lib/x86_64-linux-gnu/libsepol.so.1
init         1            root  mem       REG              254,1    136936    7340037 /lib/x86_64-linux-gnu/ld-2.13.so
init         1            root   10u     FIFO               0,14       0t0       4781 /run/initctl

Ове колоне значе следеће:

• КОМАНДА - Процес коме припада отворена датотека, у овом примеру све је повезано са init.
• ПИД - идентификациони број процеса наведеног процеса.
• КОРИСНИК - Корисник под којим се процес покреће. Јер init, скоро увек је root.
• ФД - Дескриптор датотеке, најчешћи је:
  • cwd- Тренутни радни директоријум (можда ћете приметити сличност са pwdкомандом која штампа тренутни радни директоријум).
  • rtd - Основни директоријум процеса.
  • txt- А text file, ово може значити или конфигурациону датотеку која се односи на процес или "изворни код" који се односи на (или припада) процесу.
  • mem - Такозвана "меморија мапирана датотека", што значи сегмент виртуелне меморије (читај: РАМ) који је додељен датотеци.
  • Број - број представља стварни дескриптор датотеке, знак иза броја је начин у којем се датотека отвара:
  • r - Читати.
  • w - Пишите.
  • u - Читају и пишу.
• ТИПЕ - Одређује стварни тип датотеке, најчешћи су:
  • REG - Обичан досије.
  • DIR - Именик.
  • FIFO - Први улази - први излази.
• УРЕЂАЈ – Главни и споредни број уређаја који држи датотеку.
• ВЕЛИЧИНА - Величина датотеке, у бајтовима.
• НОДЕ - Иноде број датотеке.
• НАМЕ - Име датотеке.

Ово би за сада могло бити мало неодољиво, али ако радите са њима lsofнеколико пута, брзо ће вам утонути у мозак.

Као што је горе поменуто, излаз lsofје овде скраћен. Без икаквих аргумената или филтера, lsofпроизводи стотине линија излаза који ће вас само збунити.

Постоје два основна приступа за решавање овог проблема:

• Користите једну или више lsofопција командне линије да бисте сузили резултате.
• Проведите излаз кроз, на пример, grep.

Иако ова друга опција може звучати угодније јер нећете морати да памтите lsofопције командне линије, генерално није тако флексибилна и ефикасна, па ћемо се задржати на првој.

Замислимо да желите да отворите датотеку својим омиљеним уређивачем текста и да вам уређивач текста каже да се може отворити само у режиму само за читање јер јој други програм већ приступа. lsofпомоћи ће вам да сазнате ко је починилац:

lsof /path/to/your/file

Ово ће произвести излаз сличан овоме:

COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
vim 2679 root    5w   REG  254,1   121525 6035622 /root/lsof.txt

Очигледно сте заборавили да затворите и старију сесију! Веома сличан проблем се дешава када покушате да искључите НФС дељење и umountкаже вам да не може јер нешто још увек приступа монтираној фасцикли. Опет, lsofможе вам помоћи да идентификујете кривца:

lsof +D /path/to/your/directory/

Обратите пажњу на задњу косу црту, то је важно. У супротном lsofће се претпоставити да мислите на обичан фајл. Немојте да вас збуни +ознака испред - lsofима толико опција командне линије да су му потребне +поред уобичајених -. Излаз би изгледао овако:

COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF      NODE NAME
mocp    5637  music    4r   REG   0,19 10147719 102367344 /home/Music/RMS_GNU_SONG.ogg

То значи да је процес mocpса ПИД-ом 5637који припада кориснику musicотворио датотеку под називом RMS_GNU_SONG.ogg. Међутим, чак и након затварања тог процеса, и даље постоји проблем - НФС волумен се не може искључити.

lsofима -cзаставицу која приказује датотеке отворене са произвољним именом процеса.

lsof -c mocp

То би произвело излаз који би изгледао овако:

mocp    9383  music    4r   REG   0,19 10147719 102367344 /home/Music/ANOTHER_RMS_GNU_SONG.ogg

У овом примеру постоји још један пример mocpпокретања, који вас спречава да искључите дељење. Након што искључите тај процес, желите да се уверите да корисник musicнема отворених других потенцијално проблематичних датотека. lsofима -uзаставицу за приказивање датотека које је отворио одређени корисник. Запамтите, датотека није увек само обична датотека на вашем чврстом диску!

lsof -u music

Такође можете проследити неколико корисника, одвојених зарезима:

lsof -u music,moremusic

Важна напомена на подразумевано понашање lsof: резултати су ИЛИ базиран, што значи да ћете видети фајл резултате које је отворио процесима који су у власништву или корисника music, односно корисника moremusic. Ако желите да видите резултате који се подударају са процесима који су у власништву оба корисника, онда бисте морали да пренесете заставицу -a:

lsof -au music, moremusic

Пошто су оба корисника у групи musicusers, можете и да наведете датотеке на основу групе:

lsof -g musicusers

Такође можете комбиновати ознаке командне линије:

lsof -u music,moremusic -c mocp

or

lsof -u ^music +D /home/Music

У последњем реду смо додали још једну специјалну заставицу - ^, која означава логично НЕ . Ако је излаз празан након покретања те команде, онда ће демонтажа највероватније бити успешна.

У претходним примерима смо углавном гледали обичне датотеке. Шта је са утичницама и мрежним везама?

За листу свих тренутних мрежних веза lsofима -iзаставицу:

lsof -i

Резултат изгледа слично ономе што смо до сада видели...

COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
owncloud  3509  myuser   25u  IPv4  44946      0t0  TCP strix.local:34217->myserver.vultr.com:https (ESTABLISHED)
firefox   3612  myuser   82u  IPv4  49663      0t0  TCP strix.local:43897->we-in-f100.1e100.net:https (ESTABLISHED)
ssh       3784  myuser    3u  IPv4  10437      0t0  TCP strix.local:51416->someserver.in:ssh (ESTABLISHED)
wget      4140  myuser    3w  IPv4  45586      0t0  TCP strix.local:54460->media.ccc.de:http (CLOSE_WAIT)

... осим једне разлике: уместо имена датотека или директоријума, колона NAMEсада приказује информације о вези. Свака веза се састоји од следећих делова:

• Протокол.
• Локално име хоста.
• Изворни порт везе.
• ДНС име одредишта.
• Одредишна лука.
• Статус везе.

Као и код многих других алата, можете да одустанете од решавања ДНС имена и портова ( -nи -P, респективно). Застава -iузима додатне параметре. Можете да одредите да ли желите да прикажете tcp, udpили icmpвезе или одређене портове:

lsof -i :25
or
lsof -i :smtp

Опет, параметри се могу комбиновати. Следећи пример...

lsof -i tcp:80

... ће вам показати само ТЦП везе користећи порт 80. Можете га комбиновати и са опцијама које већ знате из "класичних" датотека:

lsof -a -u httpd -i tcp

Ово ће вам показати све ТЦП везе које је отворио корисник httpd. Обратите пажњу на -aзаставицу, која мења подразумевано понашање lsof(као што је раније поменуто). Као и код већине алата командне линије, можете ићи изузетно дубоко. Следеће ће вам показати само ТЦП везе чије је стање „УСПОСТАВЉЕНО“:

lsof -i -s TCP:ESTABLISHED

У овом тренутку, требало би да имате основно разумевање о томе како lsofфункционише, заједно са неким уобичајеним случајевима употребе. За даље читање, погледајте ман страницу lsofна вашем систему.