Linux恢复删除文件的lsof命令详解

lsof命令

lsof命令用于查看你进程开打的文件，打开文件的进程，进程打开的端口(TCP、UDP)。找回/恢复删除的文件。是十分方便的系统监视工具，因为lsof命令需要访问核心内存和各种文件，所以需要root用户执行。

在linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等，系统在后台都为该应用程序分配了一个文件描述符，无论这个文件的本质如何，该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息，因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。

语法

lsof(选项)

参数

      -a：列出打开文件存在的进程；

      -c<进程名>：列出指定进程所打开的文件；

      -g：列出GID号进程详情；

      -d<文件号>：列出占用该文件号的进程；

      +d<目录>：列出目录下被打开的文件；

      +D<目录>：递归列出目录下被打开的文件；

      -n<目录>：列出使用NFS的文件；

      -i<条件>：列出符合条件的进程。（4、6、协议、:端口、 @ip ）

      -p<进程号>：列出指定进程号所打开的文件；

      -u：列出UID号进程详情；

      -h：显示帮助信息；

      -v：显示版本信息。

使用

查看

lsof -i :（端口） 查看这个端口有那些进程在访问，比如22端口

shell> lsof -i:22
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd  1939 root 3u IPv4 12317  0t0 TCP *:ssh (LISTEN)
sshd  1939 root 4u IPv6 12321  0t0 TCP *:ssh (LISTEN)
sshd  2790 root 3u IPv4 15229  0t0 TCP 192.168.178.128:ssh->192.168.178.1:64601 (ESTABLISHED)
sshd  2824 root 3u IPv4 15528  0t0 TCP 192.168.178.128:ssh->192.168.178.1:64673 (ESTABLISHED)
sshd  2990 root 3u IPv4 15984  0t0 TCP 192.168.178.128:ssh->192.168.178.1:64686 (ESTABLISHED)
sshd 14695 root 3u IPv4 39558  0t0 TCP 192.168.178.128:ssh->192.168.178.1:49662 (ESTABLISHED)

lsof输出各列信息的意义如下：

1. COMMAND：进程的名称
2. PID：进程标识符
3. USER：进程所有者
4. FD：文件描述符，应用程序通过文件描述符识别该文件。如cwd、txt等
5. TYPE：文件类型，如DIR、REG等
6. DEVICE：指定磁盘的名称
7. SIZE：文件的大小
8. NODE：索引节点（文件在磁盘上的标识）
9. NAME：打开文件的确切名称

恢复文件

利用lsof可以恢复一些系统日志，前提是这个进程必须存在。这里就拿最常用的/var/log/messages来举例说明，大家在做测试的时候最好先备份一下。

#备份
shell> cp /var/log/message /var/log/message_bac
http://embeddedlinux.org.cn/
shell> lsof |grep /var/log/message
rsyslogd 1737  root 1w  REG    8,2 5716123  652638 /var/log/messages

进程在运行中，接下来我就把/var/log/messages这个文件删掉

shell> rm /var/log/messages

删掉之后，我再来看看这个进程的变化

shell> lsof |grep /var/log/messages
rsyslogd 1737  root 1w  REG    8,2 5716123  652638 /var/log/messages (deleted)

大家看到有变化了吧， 对比两个之后发现多了(deleted)。要找到这个文件在哪还要看看这个

PID:1737 FD:1 那我们有直接进入/proc/1737/FD/1用ll查看一下

shell> cd /proc/1737/fd/
shell> ll

total 0
lrwx------ 1 root root 64 Dec 23 13:00 0 -> socket:[11442]
l-wx------ 1 root root 64 Dec 23 13:00 1 -> /var/log/messages (deleted)
l-wx------ 1 root root 64 Dec 23 13:00 2 -> /var/log/secure
lr-x------ 1 root root 64 Dec 23 13:00 3 -> /proc/kmsg
l-wx------ 1 root root 64 Dec 23 13:00 4 -> /var/log/maillog

看到了1对应/var/log/messages (deleted），看看文件是不是我们要的文件:

shell> head -5 1
Nov 14 03:11:11 localhost kernel: imklog 5.8.10, log source = /proc/kmsg started.
Nov 14 03:11:11 localhost rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="1241" x-info="http://www.rsyslog.com"] start
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpuset
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpu
Nov 14 03:11:11 localhost kernel: Linux version 2.6.32-431.el6.x86_64 (mockbuild@c6b8.bsys.dev.CentOS.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Fri Nov 22 03:15:09 UTC 2013

对比备份文件：

shell> head -5 /var/log/message_bac
Nov 14 03:11:11 localhost kernel: imklog 5.8.10, log source = /proc/kmsg started.
Nov 14 03:11:11 localhost rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="1241" x-info="http://www.rsyslog.com"] start
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpuset
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpu
Nov 14 03:11:11 localhost kernel: Linux version 2.6.32-431.el6.x86_64 (mockbuild@c6b8.bsys.dev.centos.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Fri Nov 22 03:15:09 UTC 2013

对比发现数据是一样的，恢复

shell> cat 1 > /var/log/messages

再次提醒，恢复前提是这个进程必须存在。

总结

以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作能带来一定的帮助，如果有疑问大家可以留言交流。

# linux  # lsof命令  # lsof命令详解  # Linux利用lsof/extundelete工具恢复误删除的文件或目录  # linux中误删除程序包恢复实例  # linux grub的启动加密及删除恢复方法  # linux环境下恢复rm误删的文件方法  # 应用程序  # 递归  # 该文件  # 目录下  # 还可以  # 很有  # 看你  # 就把  # 将是  # 来看看  # 我再  # 要找  # 这篇文章  # 都以  # 就拿  # 符合条件  # 直接进入  # 最常用  # 为该  # 配了 

相关文章： 建站中国官网：模板定制+SEO优化+建站流程一站式指南  如何快速登录WAP自助建站平台？  成都品牌网站制作公司,成都营业执照年报网上怎么办理？  如何续费美橙建站之星域名及服务？  家族网站制作贴纸教程视频,用豆子做粘帖画怎么制作？  如何在建站主机中优化服务器配置？  美食网站链接制作教程视频,哪个教做美食的网站比较专业点？  C++如何编写函数模板？（泛型编程入门）  天津个人网站制作公司,天津网约车驾驶员从业资格证官网？  长春网站建设制作公司,长春的网络公司怎么样主要是能做网站的？  建站之星后台密码如何安全设置与找回？  名字制作网站免费,所有小说网站的名字？  台州网站建设制作公司,浙江手机无犯罪记录证明怎么开？  广州营销型建站服务商推荐：技术优势与SEO优化解析  制作网站建设的公司有哪些,网站建设比较好的公司都有哪些？  网站制作费用多少钱,一个网站的运营，需要哪些费用？  C#如何序列化对象为XML XmlSerializer用法  宝塔面板如何快速创建新站点？  建站之星如何通过成品分离优化网站效率？  开心动漫网站制作软件下载,十分开心动画为何停播？  PHP正则匹配日期和时间(时间戳转换)的实例代码  北京建设网站制作公司,北京古代建筑博物馆预约官网？  黑客如何利用漏洞与弱口令入侵网站服务器？  阿里云网站搭建费用解析：服务器价格与建站成本优化指南  如何设计高效校园网站？  成都网站制作价格表,现在成都广电的单独网络宽带有多少的，资费是什么情况呢？  小自动建站系统：AI智能生成+拖拽模板，多端适配一键搭建  如何优化Golang Web性能_Golang HTTP服务器性能提升方法  个人摄影网站制作流程,摄影爱好者都去什么网站？  ,购物网站怎么盈利呢？  标准网站视频模板制作软件,现在有哪个网站的视频编辑素材最齐全的，背景音乐、音效等？  如何选择高性价比服务器搭建个人网站？  建站之星导航菜单设置与功能模块配置全攻略  实现点击下箭头变上箭头来回切换的两种方法【推荐】  手机怎么制作网站教程步骤,手机怎么做自己的网页链接？  建站之星导航如何优化提升用户体验？  建站之星代理费用多少？最新价格详情介绍  ,sp开头的版面叫什么？  如何选购建站域名与空间？自助平台全解析  免费制作统计图的网站有哪些,如何看待现如今年轻人买房难的情况？  如何确保西部建站助手FTP传输的安全性？  网页设计网站制作软件,microsoft office哪个可以创建网页？  简历在线制作网站免费,免费下载个人简历的网站是哪些？  车管所网站制作流程,交警当场开简易程序处罚决定书，在交警网站查询不到怎么办？  Swift中swift中的switch 语句  制作网站外包平台,自动化接单网站有哪些？  如何在万网主机上快速搭建网站？  内部网站制作流程,如何建立公司内部网站？  宝塔新建站点报错如何解决？  岳西云建站教程与模板下载_一站式快速建站系统操作指南