1.lsof简介

    lsof（list open files）是一个列出当前系统打开文件的工具。在linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等，系统在后台都为该应用程序分配了一个文件描述符，无论这个文件的本质如何，该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息，因此通过lsof工具能够查看这个列表对系统监测以及排错将是很有帮助的。

2.lsof输出信息含有

    在终端下输入lsof即可显示系统打开的文件，因为 lsof 需要访问核心内存和各种文件，所以必须以 root 用户的身份运行它才能够充分地发挥其功能。例如:lsof | grep “nginx” 只要nginx开启就能找到nginx打开的文件,相反nginx停止了那么是得不到相关信息的.

我们可以看到总共有9列,每列含有如下:

    comand: 进程名称

    pid: 进程标识符

    user: 进程所有者

    fd: 文件描述符,应用程序通过文件描述符识别该文件.如:cwd/txt

    type: 文件类型,如DIR/REG

    device: 指定磁盘的名称

size: 文件大小

node: 索引节点(文件在磁盘上的标识)

name: 打开文件的确切名称

3.常见参数(具体可查看man手册)

lsof filename  显示打开指定文件的所有进程

lsof -a        表示两个参数都必须满足时才显示结果  lsof -a -u root -d txt

lsof -c string   显示command列中包含指定字符的进程打开的文件

lsof -u username显示所属用户打开的文件

lsof -g gid      显示对应gid的进程情况

lsof +d /目录    显示目录下被进程打开的文件

lsof +D /目录   显示目录和子目录下进程打开的文件

lsof -d fd      显示指定文件描述符的进程

lsof -i         显示符合条件的进程情况：如lsof -i tcp:80 查看端口被那个程序应用

4.当Linux计算机受到入侵时，常见的情况是日志文件被删除，以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件，比如在清理旧日志时，意外地删除了数据库的活动事务日志。有时可以通过lsof来恢复这些文件。 

    当进程打开了某个文件时，只要该进程保持打开该文件，即使将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录索引节点。 

在/proc 目录下，其中包含了反映内核和进程树的各种文件。/proc目录挂载的是在内存中所映射的一块区域，所以这些文件和目录并不存在于磁盘中，因此当我们对这些文件进行读取和写入时，实际上是在从内存中获取相关信息。大多数与 lsof 相关的信息都存储于以进程的 PID 命名的目录中，即 /proc/1234 中包含的是 PID 为 1234 的进程的信息。每个进程目录中存在着各种文件，它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof 程序使用该信息和其他关于内核内部状态的信息来产生其输出。所以lsof 可以显示进程的文件描述符和相关的文件名等信息。也就是我们通过访问进程的文件描述符可以找到该文件的相关信息。

(1)列如不小心删除了nginx的访问日志：/var/log/nginx/access.log,会显示deleted

(2)删除后那么怎样查看呢？从上面信息可以看到pid 1654打开文件的描述符为5,同时access.log被标记为dedeted。因此我们可以在/proc/1654/fd/5中查看信息。

(3)误删除后怎样恢复此access.log文件呢？

cat /proc/1654/fd/5 > /var/log/nginx/access.log