Lsof 소개

Linux에서는 객체가 실제로 파일, 장치, 디렉토리 또는 소켓인지에 관계없이 많은 객체가 파일로 간주됩니다. 파일을 나열하는 것은 쉽습니다. 셸이 내장 ls되어 있습니다. 그러나 사용자가 웹 서버 프로세스에서 현재 어떤 파일이 열려 있는지 확인하려면 어떻게해야합니까? 또는 해당 사용자가 특정 디렉토리에서 열린 파일을 찾으려면? 그곳 lsof이 시작됩니다. 상상 lsofA와 ls"열린 파일"의 추가와 함께.

BSD는이 작업을 위해 다른 유틸리티를 가지고 있지만 fstat유닉스 (예 : 솔라리스)의 여러 다른 특징들도 가지고 lsof있습니다. 옵션과 플래그는 다른 플랫폼과 출력 모양에 따라 다르지만 일반적으로이 기사의 지식도 적용 가능해야합니다.

먼저 lsof출력 형식과 출력 방법을 살펴 보겠습니다 . lsof매개 변수가없는 일반적인 출력은 다음과 유사합니다. 가독성을 위해 손질되었습니다.

COMMAND    PID  TID       USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
init         1            root  cwd       DIR              254,1      4096          2 /
init         1            root  rtd       DIR              254,1      4096          2 /
init         1            root  txt       REG              254,1     36992    7077928 /sbin/init
init         1            root  mem       REG              254,1     14768    7340043 /lib/x86_64-linux-gnu/libdl-2.13.so
init         1            root  mem       REG              254,1   1603600    7340040 /lib/x86_64-linux-gnu/libc-2.13.so
init         1            root  mem       REG              254,1    126232    7340078 /lib/x86_64-linux-gnu/libselinux.so.1
init         1            root  mem       REG              254,1    261184    7340083 /lib/x86_64-linux-gnu/libsepol.so.1
init         1            root  mem       REG              254,1    136936    7340037 /lib/x86_64-linux-gnu/ld-2.13.so
init         1            root   10u     FIFO               0,14       0t0       4781 /run/initctl

이 열은 다음을 의미합니다.

• COMMAND - 열려있는 파일이,이 예제에서는 모든 것이 관련이 속한 과정 init.
• PID-상기 프로세스의 프로세스 식별 번호.
• USER-프로세스가 실행되는 사용자입니다. 의 경우 init, 거의 항상 root.
• FD-파일의 파일 디스크립터. 가장 일반적인 것 :
  • cwd-현재 작업 디렉토리 (현재 작업 디렉토리 pwd를 인쇄하는 명령 과 유사 함을 알 수 있습니다 ).
  • rtd -프로세스의 루트 디렉토리.
  • txt-A text file, 이는 프로세스와 관련된 구성 파일 또는 프로세스와 관련된 (또는 그에 속하는) "소스 코드"를 의미 할 수 있습니다.
  • mem -소위 "메모리 매핑 파일"은 파일에 할당 된 가상 메모리 (읽기 : RAM)의 세그먼트를 의미합니다.
  • 숫자-숫자는 실제 파일 디스크립터를 나타내고 숫자 뒤의 문자는 파일이 열리는 모드입니다.
  • r - 읽다.
  • w -쓰기
  • u - 읽고 쓰기.
• TYPE-파일의 실제 유형을 지정합니다. 가장 일반적인 유형은 다음과 같습니다.
  • REG -일반 파일.
  • DIR -디렉토리.
  • FIFO -먼저, 먼저
• 장치-파일을 보유한 장치의 주 및 부 번호입니다.
• SIZE-파일 크기 (바이트)
• NODE-파일의 inode 번호
• NAME-파일 이름

이것은 현재로서는 다소 압도적이지만 lsof몇 번 일하면 뇌에 빠르게 흡수됩니다.

위에서 언급했듯이 lsof여기 에서 출력 이 줄었습니다. 인수 나 필터가 없으면 lsof수백 줄의 출력이 생성되어 혼란 스러울 수 있습니다.

이 문제를 해결하기위한 두 가지 기본 접근법이 있습니다.

• 하나 이상의 lsof명령 행 옵션을 사용하여 결과 범위를 좁히십시오.
• 예를 들어을 통해 출력을 파이프하십시오 grep.

후자의 옵션은 lsof명령 행 옵션 을 외울 필요가 없기 때문에보다 편안하게 들릴 수 있지만 일반적으로 유연하고 효율적이지 않으므로 첫 번째 옵션을 사용합니다.

즐겨 사용하는 텍스트 편집기로 파일을 열려고하고 다른 프로그램이 이미 파일에 액세스하고 있기 때문에 텍스트 편집기에서 파일을 읽기 전용 모드로만 열 수 있다고 알려줍니다. lsof가해자가 누구인지 알아내는 데 도움이됩니다.

lsof /path/to/your/file

다음과 유사한 출력이 생성됩니다.

COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
vim 2679 root    5w   REG  254,1   121525 6035622 /root/lsof.txt

분명히, 당신은 닫고 오래된 세션을 잊어 버렸습니다! NFS 공유를 마운트 해제하려고 시도 할 때 매우 비슷한 문제가 발생 umount하고 마운트 된 폴더에 여전히 액세스하고 있기 때문에이를 공유 할 수 없음을 알려줍니다. 다시 한 번 lsof범인 식별에 도움을 줄 수 있습니다.

lsof +D /path/to/your/directory/

후행 슬래시를 주목하십시오. 이것이 중요합니다. 그렇지 않으면 lsof일반 파일을 의미한다고 가정합니다. +플래그 앞에 혼동하지 마십시오. lsof명령 줄 옵션이 너무 많아서 +보다 일반적인 명령 줄 옵션이 필요합니다 -. 결과는 다음과 같습니다.

COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF      NODE NAME
mocp    5637  music    4r   REG   0,19 10147719 102367344 /home/Music/RMS_GNU_SONG.ogg

이는 mocpPID 가있는 프로세스 5637가 사용자에게 속한 music파일을 열었 음을 의미합니다 RMS_GNU_SONG.ogg. 그러나 해당 프로세스를 종료 한 후에도 여전히 문제가 있습니다. NFS 볼륨을 마운트 해제 할 수 없습니다.

lsof-c임의의 프로세스 이름을 연 파일을 표시 하는 플래그가 있습니다.

lsof -c mocp

그러면 다음과 같은 출력이 생성됩니다.

mocp    9383  music    4r   REG   0,19 10147719 102367344 /home/Music/ANOTHER_RMS_GNU_SONG.ogg

이 예에서는 mocp실행중인 다른 인스턴스가 있어 공유를 마운트 해제 할 수 없습니다. 해당 프로세스를 종료 한 후 사용자 music에게 잠재적으로 문제가있는 다른 파일이 열려 있지 않은지 확인하려고합니다 . 특정 사용자가 연 파일을 표시 lsof하는 -u플래그가 있습니다. 파일은 항상 하드 디스크에있는 일반 파일이 아닙니다.

lsof -u music

쉼표로 구분하여 여러 사용자를 전달할 수도 있습니다.

lsof -u music,moremusic

기본 동작에 대한 중요한 참고 사항 lsof: 결과는 OR 기반 입니다. music즉, 사용자 또는 사용자가 소유 한 프로세스에 의해 열린 파일 결과가 표시됩니다 moremusic. 두 사용자가 모두 소유 한 프로세스와 일치하는 결과를 보려면 플래그를 전달해야합니다 -a.

lsof -au music, moremusic

두 사용자가 모두 그룹에 있으므로 그룹을 musicusers기반으로 파일을 나열 할 수도 있습니다.

lsof -g musicusers

명령 행 플래그를 결합 할 수도 있습니다.

lsof -u music,moremusic -c mocp

or

lsof -u ^music +D /home/Music

마지막 행에서 ^논리 NOT 을 나타내는 또 다른 특수 플래그-를 추가했습니다 . 해당 명령을 실행 한 후 출력이 비어 있으면 마운트 해제가 성공한 것입니다.

이전 예제에서 우리는 대부분 일반 파일을 살펴 보았습니다. 소켓과 네트워크 연결은 어떻습니까?

나열하려면 모든 현재의 네트워크 연결은 lsof이 -i플래그를 :

lsof -i

결과는 지금까지 본 것과 비슷합니다 ...

COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
owncloud  3509  myuser   25u  IPv4  44946      0t0  TCP strix.local:34217->myserver.vultr.com:https (ESTABLISHED)
firefox   3612  myuser   82u  IPv4  49663      0t0  TCP strix.local:43897->we-in-f100.1e100.net:https (ESTABLISHED)
ssh       3784  myuser    3u  IPv4  10437      0t0  TCP strix.local:51416->someserver.in:ssh (ESTABLISHED)
wget      4140  myuser    3w  IPv4  45586      0t0  TCP strix.local:54460->media.ccc.de:http (CLOSE_WAIT)

... 한 가지 차이점을 제외하고 : 파일 이름 또는 디렉토리 대신 열에 NAME연결 정보가 표시됩니다. 각 연결은 다음과 같은 부분으로 구성됩니다.

• 실험 계획안.
• 로컬 호스트 이름
• 연결의 소스 포트.
• 대상 DNS 이름
• 대상 포트.
• 연결 상태

많은 다른 도구와 마찬가지로 옵트 아웃 할 수 있습니다 해결 DNS 이름과 포트 (의 -n와 -P, 각각). 플래그 -i는 추가 매개 변수를 사용합니다. 당신은 표시할지 여부를 지정할 수 있습니다 tcp, udp또는 icmp연결 또는 특정 포트를 :

lsof -i :25
or
lsof -i :smtp

다시, 매개 변수를 결합 할 수 있습니다. 다음 예는 ...

lsof -i tcp:80

...는 포트 80을 사용한 TCP 연결 만 표시합니다. "클래식"파일에서 이미 알고있는 옵션과 결합 할 수도 있습니다.

lsof -a -u httpd -i tcp

사용자가 연 모든 TCP 연결이 표시됩니다 httpd. (앞서 언급 한대로) -a기본 동작을 변경 하는 플래그에 유의하십시오 lsof. 대부분의 명령 줄 도구와 마찬가지로 심도 깊은 작업을 수행 할 수 있습니다. 다음은 상태가 "ESTABLISHED"인 TCP 연결 만 표시합니다.

lsof -i -s TCP:ESTABLISHED

이 시점에서 lsof일반적인 사용 사례와 함께 작동 방식 에 대한 기본적인 이해가 필요합니다 . 자세한 내용은 lsof시스템 맨 페이지를 참조하십시오 .