如何在Linux中追踪文件 Linux lsof实用案例

lsof能追踪Linux中被进程打开的文件，通过文件描述符揭示进程与文件的动态关系，可用于查找被删除但仍在占用空间的文件（显示为(deleted)）、诊断端口占用（lsof -i :端口）及网络连接问题，是系统调试与性能分析的高效工具。

在Linux系统中追踪文件，

（list open files）命令无疑是我的首选工具。它能列出当前系统打开的所有文件，包括普通文件、目录、网络套接字、管道、设备文件等，并且能显示哪个进程打开了它们。对我而言，这不仅仅是一个命令，更是一个深入理解系统运行状态的窗口。

解决方案

要追踪Linux中的文件，

是你的瑞士军刀。它的基本用法很简单，直接在终端输入，它会吐出当前系统所有进程打开的所有文件列表，那信息量是相当巨大的，一眼看过去可能有点懵。所以，我们通常会结合各种参数来过滤和聚焦。

比如，如果你想知道某个特定文件被哪个进程打开了，可以这样：

这会列出所有打开

的进程。如果你想看某个特定进程（比如PID为12345的进程）打开了哪些文件，你可以用：

这只是冰山一角，

的强大之处在于它能从多个维度去剖析文件活动，无论是查找僵尸文件、诊断网络连接，还是排查端口占用，它都能提供清晰的线索。

lsof是如何揭示系统文件活动的？

说实话，刚接触

的时候，我只觉得它是个能列出文件列表的命令，但随着经验的积累，我才真正体会到它的强大。它不仅仅是“列出文件”，它是在“揭示”文件和进程之间的动态关系。在我看来，的核心在于它能够访问内核中关于文件描述符（file descriptor）的信息。每个进程在打开一个文件时，都会获得一个文件描述符，这是一个指向内核中文件对象的指针。就是通过读取这些文件描述符信息，来告诉我们哪个进程（PID）、哪个用户（USER）、使用了哪个文件描述符（FD），以及文件类型（TYPE）、设备号（DEVICE）、大小（SIZE/OFF）和节点号（NODE），最终指向具体的文件名（NAME）。

它能够揭示的活动包括：

• 谁打开了什么文件？ 这是最直接的，比如你想知道你的日志文件是不是被某个不该碰的进程读写了。
• 文件被以什么模式打开？ 比如

  r

  登录后复制
  表示读，

  w

  登录后复制
  表示写，

  u

  登录后复制
  表示读写。这对于排查文件权限问题很有帮助。
• 哪些文件是网络连接？

  lsof -i

  登录后复制
  就能列出所有网络连接，包括TCP、UDP，以及它们对应的进程和端口。
• 哪些文件已经“不存在”了，但还在被使用？ 这个问题很有意思，也是

  lsof

  登录后复制
  的经典应用之一。

它就像一个系统级的X光机，能穿透表象，让我们看到文件在系统内部的真实状态和生命周期。这种能力，对于系统管理员和开发者来说，简直是无价之宝。

如何用lsof查找被删除但仍在使用的文件？

这是一个非常经典的

使用场景，也是我个人在排查磁盘空间问题时经常用到的技巧。有时候你会发现，你删除了一个大文件，比如一个巨大的日志文件，但命令显示磁盘空间并没有立即释放。这通常是因为有进程仍然持有这个被删除文件的文件描述符。在Linux中，文件只有在所有对其的引用（包括文件描述符和硬链接）都被移除后，其占用的磁盘空间才会被真正释放。

可以非常优雅地找出这些“幽灵文件”。你只需要运行：

你会看到类似这样的输出：

这里的关键是

标记。它明确告诉你，这个文件已经被从文件系统中删除了，但PID为12345的进程仍然通过文件描述符6（中的表示读写）持有它的引用。只要这个进程不关闭文件描述符或者不退出，文件占用的空间就不会被释放。

解决办法通常是：

1. 重启持有文件的进程： 如果允许，这是最直接有效的方法。
2. 强制关闭文件描述符（谨慎操作）： 虽然有一些工具如

   fuser

   登录后复制
   或通过

   /proc

   登录后复制
   文件系统可以尝试关闭文件描述符，但这通常不推荐，因为它可能会导致进程崩溃或数据损坏。
3. 等待进程自行关闭： 如果进程设计良好，它最终会关闭文件描述符。

理解这个机制，能帮助我们避免很多不必要的磁盘空间焦虑，也能更深入地理解Linux文件管理的底层逻辑。

lsof在诊断网络连接和端口冲突时的妙用

网络问题，尤其是在服务器上，总是让人头疼。端口被占用、服务无法启动、连接异常……这些问题，

都能提供关键的诊断信息。它通过参数，将关注点从普通文件转向了网络文件描述符，也就是各种网络套接字。

最常见的用法是查找哪个进程占用了某个端口：

这会列出所有监听或连接到8080端口的进程。输出会显示进程ID、用户、网络协议（TCP/UDP）、本地地址、远程地址和状态（LISTEN、ESTABLISHED等）。这对于排查“Address already in use”错误简直是神来之笔。

如果你想看所有TCP连接：

或者所有UDP连接：

更进一步，你可以结合IP地址来过滤：

这会显示所有与192.168.1.100这个IP地址有交互的进程。

我个人在排查服务启动失败时，

几乎是我的第一反应。它能迅速告诉我，是哪个“捣蛋鬼”提前占用了我需要的端口，然后我就可以决定是杀掉那个进程，还是修改我的服务配置。这种直接、高效的诊断能力，让我对爱不释手。它不仅仅是列出信息，它是在提供解决问题的路径。

以上就是如何在Linux中追踪文件 Linux lsof实用案例的详细内容，更多请关注php中文网其它相关文章！