1.lsof簡介

    lsof（list open files）是一個列出當前系統打開文件的工具。在linux環境下，任何事物都以文件的形式存在，通過文件不僅僅可以訪問常規數據，還可以訪問網絡連接和硬件。所以如傳輸控制協議 (TCP) 和用戶數據報協議 (UDP) 套接字等，系統在后臺都為該應用程序分配了一個文件描述符，無論這個文件的本質如何，該文件描述符為應用程序與基礎操作系統之間的交互提供了通用接口。因為應用程序打開文件的描述符列表提供了大量關于這個應用程序本身的信息，因此通過lsof工具能夠查看這個列表對系統監測以及排錯將是很有幫助的。

2.lsof輸出信息含有

    在終端下輸入lsof即可顯示系統打開的文件，因為 lsof 需要訪問核心內存和各種文件，所以必須以 root 用戶的身份運行它才能夠充分地發揮其功能。例如:lsof | grep “nginx” 只要nginx開啟就能找到nginx打開的文件,相反nginx停止了那么是得不到相關信息的.

我們可以看到總共有9列,每列含有如下:

    comand: 進程名稱

    pid: 進程標識符

    user: 進程所有者

    fd: 文件描述符,應用程序通過文件描述符識別該文件.如:cwd/txt

    type: 文件類型,如DIR/REG

    device: 指定磁盤的名稱

size: 文件大小

node: 索引節點(文件在磁盤上的標識)

name: 打開文件的確切名稱

3.常見參數(具體可查看man手冊)

lsof filename  顯示打開指定文件的所有進程

lsof -a        表示兩個參數都必須滿足時才顯示結果  lsof -a -u root -d txt

lsof -c string   顯示command列中包含指定字符的進程打開的文件

lsof -u username顯示所屬用戶打開的文件

lsof -g gid      顯示對應gid的進程情況

lsof +d /目錄    顯示目錄下被進程打開的文件

lsof +D /目錄   顯示目錄和子目錄下進程打開的文件

lsof -d fd      顯示指定文件描述符的進程

lsof -i         顯示符合條件的進程情況：如lsof -i tcp:80 查看端口被那個程序應用

4.當Linux計算機受到入侵時，常見的情況是日志文件被刪除，以掩蓋攻擊者的蹤跡。管理錯誤也可能導致意外刪除重要的文件，比如在清理舊日志時，意外地刪除了數據庫的活動事務日志。有時可以通過lsof來恢復這些文件。 

    當進程打開了某個文件時，只要該進程保持打開該文件，即使將其刪除，它依然存在于磁盤中。這意味著，進程并不知道文件已經被刪除，它仍然可以向打開該文件時提供給它的文件描述符進行讀取和寫入。除了該進程之外，這個文件是不可見的，因為已經刪除了其相應的目錄索引節點。 

在/proc 目錄下，其中包含了反映內核和進程樹的各種文件。/proc目錄掛載的是在內存中所映射的一塊區域，所以這些文件和目錄并不存在于磁盤中，因此當我們對這些文件進行讀取和寫入時，實際上是在從內存中獲取相關信息。大多數與 lsof 相關的信息都存儲于以進程的 PID 命名的目錄中，即 /proc/1234 中包含的是 PID 為 1234 的進程的信息。每個進程目錄中存在著各種文件，它們可以使得應用程序簡單地了解進程的內存空間、文件描述符列表、指向磁盤上的文件的符號鏈接和其他系統信息。lsof 程序使用該信息和其他關于內核內部狀態的信息來產生其輸出。所以lsof 可以顯示進程的文件描述符和相關的文件名等信息。也就是我們通過訪問進程的文件描述符可以找到該文件的相關信息。

(1)列如不小心刪除了nginx的訪問日志：/var/log/nginx/access.log,會顯示deleted

(2)刪除后那么怎樣查看呢？從上面信息可以看到pid 1654打開文件的描述符為5,同時access.log被標記為dedeted。因此我們可以在/proc/1654/fd/5中查看信息。

(3)誤刪除后怎樣恢復此access.log文件呢？

cat /proc/1654/fd/5 > /var/log/nginx/access.log