Linux恢复删除文件的lsof命令详解

lsof命令

lsof命令用于查看你进程开打的文件，打开文件的进程，进程打开的端口(TCP、UDP)。找回/恢复删除的文件。是十分方便的系统监视工具，因为lsof命令需要访问核心内存和各种文件，所以需要root用户执行。

在linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等，系统在后台都为该应用程序分配了一个文件描述符，无论这个文件的本质如何，该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息，因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。

语法

lsof(选项)

参数

      -a：列出打开文件存在的进程；

      -c<进程名>：列出指定进程所打开的文件；

      -g：列出GID号进程详情；

      -d<文件号>：列出占用该文件号的进程；

      +d<目录>：列出目录下被打开的文件；

      +D<目录>：递归列出目录下被打开的文件；

      -n<目录>：列出使用NFS的文件；

      -i<条件>：列出符合条件的进程。（4、6、协议、:端口、 @ip ）

      -p<进程号>：列出指定进程号所打开的文件；

      -u：列出UID号进程详情；

      -h：显示帮助信息；

      -v：显示版本信息。

使用

查看

lsof -i :（端口） 查看这个端口有那些进程在访问，比如22端口

shell> lsof -i:22
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd  1939 root 3u IPv4 12317  0t0 TCP *:ssh (LISTEN)
sshd  1939 root 4u IPv6 12321  0t0 TCP *:ssh (LISTEN)
sshd  2790 root 3u IPv4 15229  0t0 TCP 192.168.178.128:ssh->192.168.178.1:64601 (ESTABLISHED)
sshd  2824 root 3u IPv4 15528  0t0 TCP 192.168.178.128:ssh->192.168.178.1:64673 (ESTABLISHED)
sshd  2990 root 3u IPv4 15984  0t0 TCP 192.168.178.128:ssh->192.168.178.1:64686 (ESTABLISHED)
sshd 14695 root 3u IPv4 39558  0t0 TCP 192.168.178.128:ssh->192.168.178.1:49662 (ESTABLISHED)

lsof输出各列信息的意义如下：

1. COMMAND：进程的名称
2. PID：进程标识符
3. USER：进程所有者
4. FD：文件描述符，应用程序通过文件描述符识别该文件。如cwd、txt等
5. TYPE：文件类型，如DIR、REG等
6. DEVICE：指定磁盘的名称
7. SIZE：文件的大小
8. NODE：索引节点（文件在磁盘上的标识）
9. NAME：打开文件的确切名称

恢复文件

利用lsof可以恢复一些系统日志，前提是这个进程必须存在。这里就拿最常用的/var/log/messages来举例说明，大家在做测试的时候最好先备份一下。

#备份
shell> cp /var/log/message /var/log/message_bac
http://embeddedlinux.org.cn/
shell> lsof |grep /var/log/message
rsyslogd 1737  root 1w  REG    8,2 5716123  652638 /var/log/messages

进程在运行中，接下来我就把/var/log/messages这个文件删掉

shell> rm /var/log/messages

删掉之后，我再来看看这个进程的变化

shell> lsof |grep /var/log/messages
rsyslogd 1737  root 1w  REG    8,2 5716123  652638 /var/log/messages (deleted)

大家看到有变化了吧， 对比两个之后发现多了(deleted)。要找到这个文件在哪还要看看这个

PID:1737 FD:1 那我们有直接进入/proc/1737/FD/1用ll查看一下

shell> cd /proc/1737/fd/
shell> ll

total 0
lrwx------ 1 root root 64 Dec 23 13:00 0 -> socket:[11442]
l-wx------ 1 root root 64 Dec 23 13:00 1 -> /var/log/messages (deleted)
l-wx------ 1 root root 64 Dec 23 13:00 2 -> /var/log/secure
lr-x------ 1 root root 64 Dec 23 13:00 3 -> /proc/kmsg
l-wx------ 1 root root 64 Dec 23 13:00 4 -> /var/log/maillog

看到了1对应/var/log/messages (deleted），看看文件是不是我们要的文件:

shell> head -5 1
Nov 14 03:11:11 localhost kernel: imklog 5.8.10, log source = /proc/kmsg started.
Nov 14 03:11:11 localhost rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="1241" x-info="http://www.rsyslog.com"] start
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpuset
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpu
Nov 14 03:11:11 localhost kernel: Linux version 2.6.32-431.el6.x86_64 (mockbuild@c6b8.bsys.dev.CentOS.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Fri Nov 22 03:15:09 UTC 2013

对比备份文件：

shell> head -5 /var/log/message_bac
Nov 14 03:11:11 localhost kernel: imklog 5.8.10, log source = /proc/kmsg started.
Nov 14 03:11:11 localhost rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="1241" x-info="http://www.rsyslog.com"] start
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpuset
Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpu
Nov 14 03:11:11 localhost kernel: Linux version 2.6.32-431.el6.x86_64 (mockbuild@c6b8.bsys.dev.centos.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Fri Nov 22 03:15:09 UTC 2013

对比发现数据是一样的，恢复

shell> cat 1 > /var/log/messages

再次提醒，恢复前提是这个进程必须存在。

总结

以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作能带来一定的帮助，如果有疑问大家可以留言交流。

# linux  # lsof命令  # lsof命令详解  # Linux利用lsof/extundelete工具恢复误删除的文件或目录  # linux中误删除程序包恢复实例  # linux grub的启动加密及删除恢复方法  # linux环境下恢复rm误删的文件方法  # 应用程序  # 递归  # 该文件  # 目录下  # 还可以  # 很有  # 看你  # 就把  # 将是  # 来看看  # 我再  # 要找  # 这篇文章  # 都以  # 就拿  # 符合条件  # 直接进入  # 最常用  # 为该  # 配了 

相关文章： 香港服务器部署网站为何提示未备案？  电影网站制作价格表,那些提供免费电影的网站，他们是怎么盈利的？  mc皮肤壁纸制作器,苹果平板怎么设置自己想要的壁纸我的世界？  云南网站制作公司有哪些,云南最好的招聘网站是哪个？  网站制作员失业,怎样查看自己网站的注册者？  油猴 教程,油猴搜脚本为什么会网页无法显示？  简历在线制作网站免费版,如何创建个人简历？  寿县云建站：智能SEO优化与多行业模板快速上线指南  制作网站的软件免费下载,免费制作app哪个平台好？  常州企业网站制作公司,全国继续教育网怎么登录？  专业型网站制作公司有哪些,我设计专业的，谁给推荐几个设计师兼职类的网站？  威客平台建站流程解析：高效搭建教程与设计优化方案  网站制作怎么样才能赚钱,用自己的电脑做服务器架设网站有什么利弊，能赚钱吗？  广州美橙建站如何快速搭建多端合一网站？  海南网站制作公司有哪些,海口网是哪家的？  建站之星在线客服如何快速接入解答？  香港服务器网站搭建教程-电商部署、配置优化与安全稳定指南  Python lxml的etree和ElementTree有什么区别  ,石家庄四十八中学官网？  如何在建站之星网店版论坛获取技术支持？  微信h5制作网站有哪些,免费微信H5页面制作工具？  成都品牌网站制作公司,成都营业执照年报网上怎么办理？  建站之星如何优化SEO以实现高效排名？  如何快速上传自定义模板至建站之星？  如何通过IIS搭建网站并配置访问权限？  css网站制作参考文献有哪些,易聊怎么注册？  关于BootStrap modal 在IOS9中不能弹出的解决方法(IOS 9 bootstrap modal ios 9 noticework)  网站微信制作软件,如何制作微信链接？  IOS倒计时设置UIButton标题title的抖动问题  如何快速上传建站程序避免常见错误？  建站VPS推荐：2025年高性能服务器配置指南  如何快速搭建虚拟主机网站？新手必看指南  ,网站推广常用方法？  专业网站制作企业网站,如何制作一个企业网站，建设网站的基本步骤有哪些？  建站主机服务器选型指南与性能优化方案解析  如何选择可靠的免备案建站服务器？  如何在IIS中新建站点并配置端口与物理路径？  网站制作企业,网站的banner和导航栏是指什么？  制作ppt免费网站有哪些,有哪些比较好的ppt模板下载网站？  制作旅游网站html,怎样注册旅游网站？  微课制作网站有哪些,微课网怎么进？  Android滚轮选择时间控件使用详解  免费视频制作网站,更新又快又好的免费电影网站？  如何制作公司的网站链接,公司想做一个网站，一般需要花多少钱？  c# Task.Yield 的作用是什么 它和Task.Delay(1)有区别吗  如何配置支付宝与微信支付功能？  建站主机选哪种环境更利于SEO优化？  测试制作网站有哪些,测试性取向的权威测试或者网站？  如何通过.red域名打造高辨识度品牌网站？  网站制作公司,橙子建站是合法的吗？