Como usar o comando lsof do Linux

Se tudo no Linux é um arquivo, deve haver mais do que apenas arquivos em seu disco rígido. Este tutorial mostrará como usar o lsof para ver todos os outros dispositivos e processos que estão sendo tratados como arquivos.

No Linux, tudo é um arquivo

A frase frequentemente citada de que tudo no Linux é um arquivo é meio que verdadeira. Um arquivo é uma coleção de bytes. Quando estão sendo lidos em um programa ou enviados para uma impressora, eles parecem gerar um fluxo de bytes. Quando estão sendo gravados, eles aceitam um fluxo de bytes.

Muitos outros componentes do sistema aceitam ou geram fluxos de bytes, como teclados, conexões de soquete, impressoras e processos de comunicação. Como eles aceitam, geram ou aceitam e geram fluxos de bytes, esses dispositivos podem ser tratados – em um nível muito baixo – como se fossem arquivos.

Este conceito de design simplificou a implementação do sistema operacional Unix. Isso significava que um pequeno conjunto de manipuladores, ferramentas e APIs poderia ser criado para lidar com uma ampla gama de recursos diferentes.

Os dados e arquivos de programa que residem em seu disco rígido são arquivos de sistema de arquivos simples e antigos. Podemos usar o comando ls para listá-los e descobrir alguns detalhes sobre eles.

Como descobrimos todos os outros processos e dispositivos que estão sendo tratados como se fossem arquivos? Usamos o comando lsof. Isso lista os arquivos abertos no sistema. Ou seja, ele lista tudo o que está sendo tratado como se fosse um arquivo.

O Comando lsof

Muitos dos processos ou dispositivos sobre os quais lsof pode relatar pertencem ao root ou foram iniciados pelo root, então você precisará usar o comando sudo com lsof.

E como essa lista será muito longa, vamos canalizá-la menos.

sudo lsof | less

Antes que a saída do lsof apareça, os usuários do GNOME podem ver uma mensagem de aviso na janela do terminal.

lsof: WARNING: can't stat() fuse.gvfsd-fuse file system /run/user/1000/gvfs
Output information may be incomplete.

lsof tenta processar todos os sistemas de arquivos montados. Esta mensagem de aviso é gerada porque lsof encontrou um Sistema de arquivos virtual GNOME (GVFS). Este é um caso especial de um sistema de arquivos no espaço do usuário (FUSÍVEL). Ele atua como uma ponte entre o GNOME, suas APIs e o kernel. Ninguém – nem mesmo o root – pode acessar um desses sistemas de arquivos, exceto o proprietário que o montou (neste caso, GNOME). Você pode ignorar este aviso.

A saída do lsof é muito ampla. As colunas mais à esquerda são:

  Como determinar a conta de usuário atual no Linux

As colunas mais à direita são:

The lsof Columns

Todas as colunas não se aplicam a todos os tipos de arquivos abertos. É normal que alguns deles fiquem em branco.

Comando: o nome do comando associado ao processo que abriu o arquivo.
PID: Número de identificação do processo do processo que abriu o arquivo.
TID: Número de identificação da tarefa (thread). Uma coluna em branco significa que não é uma tarefa; é um processo.
Usuário: ID de usuário ou nome do usuário a quem o processo pertence, ou ID de usuário ou login da pessoa que possui o diretório em / proc onde lsof encontra informações sobre o processo.
FD: Mostra o descritor de arquivo do arquivo. Os descritores de arquivo são descritos a seguir.
Tipo: tipo de nó associado ao arquivo. Os tipos de notas são descritos a seguir.
Dispositivo: contém os números dos dispositivos, separados por vírgulas, para um caractere especial, especial de bloco, regular, diretório ou arquivo NFS, ou um endereço de referência do kernel que identifica o arquivo. Ele também pode mostrar o endereço base ou o nome do dispositivo de um dispositivo de soquete Linux AX.25.
Size / Off: Mostra o tamanho do arquivo ou o deslocamento do arquivo em bytes.
Nó: Mostra o número do nó de um arquivo local ou o número do inode de um arquivo NFS no host do servidor ou o tipo de protocolo da Internet. Ele pode exibir STR para um fluxo ou IRQ ou número de inode de um dispositivo de soquete Linux AX.25.
Nome: mostra o nome do ponto de montagem e do sistema de arquivos no qual o arquivo reside.

A coluna FD

O descritor de arquivo na coluna FD pode ser uma de muitas opções; a página man liste todos eles.

A entrada da coluna FD pode ser composta de três partes: um descritor de arquivo, um caractere de modo e um caractere de bloqueio. Alguns descritores de arquivo comuns são:

cwd: diretório de trabalho atual.
err: erro de informação FD (consulte a coluna NOME).
ltx: Texto da biblioteca compartilhada (código e dados).
m86: Arquivo mapeado do DOS Merge.
mem: Arquivo mapeado na memória.
mmap: dispositivo mapeado na memória.
pd: Diretório pai.
rtd: diretório raiz.
txt: texto do programa (código e dados)
Um número que representa um descritor de arquivo.

O caractere de modo pode ser um dos seguintes:

r: acesso de leitura.
w: Acesso de gravação.
u: Acesso de leitura e gravação.
”: Um caractere de espaço, se o modo for desconhecido e não houver caractere de bloqueio.
-: Modo desconhecido e há um caractere de bloqueio.

O caractere de bloqueio pode ser um dos seguintes:

r: Lê o bloqueio em parte do arquivo.
R: Leia o bloqueio em todo o arquivo.
w: bloqueio de gravação em parte do arquivo.
W: Bloqueio de gravação em todo o arquivo.
u: Bloqueio de leitura e gravação de qualquer comprimento.
U: Tipo de bloqueio desconhecido.
”: Um caractere de espaço. Não feche.

A coluna TYPE

mais de 70 entradas que pode aparecer na coluna TYPE. Algumas entradas comuns que você verá são:

REG: arquivo normal do sistema de arquivos.
DIR: Diretório.
FIFO: Primeiro a entrar, primeiro a sair.
CHR: Arquivo especial de personagem.
BLK: Bloqueia arquivo especial.
INET: Soquete de Internet.
unix: socket de domínio UNIX

Veja os processos que abriram um arquivo

Para ver os processos que abriram um determinado arquivo, forneça o nome do arquivo como um parâmetro para lsof. Por exemplo, para ver os processos que abriram o arquivo kern.log, use este comando:

sudo lsof /var/log/kern.log

lsof responde exibindo o único processo, rsyslogd, que foi iniciado pelo usuário syslog.

  Como desativar o SWAP no Linux

Ver todos os arquivos abertos de um diretório

Para ver os arquivos que foram abertos em um diretório e os processos que os abriram, passe o diretório para lsof como um parâmetro. Você deve usar a opção + D (diretório).

Para ver todos os arquivos abertos no diretório / var / log /, use este comando:

sudo lsof +D /var/log/

lsof responde com uma lista de todos os arquivos abertos naquele diretório.

Para ver todos os arquivos que foram abertos no diretório / home, use o seguinte comando:

sudo lsof +D /home

Os arquivos que foram abertos do diretório / home são exibidos. Observe que, com descrições mais curtas em algumas das colunas, toda a lista é mais restrita.

Listar arquivos abertos por um processo

Para ver os arquivos que foram abertos por um processo específico, use a opção -c (comando). Observe que você pode fornecer mais de um termo de pesquisa para lsof de uma vez.

sudo lsof -c ssh -c init

lsof fornece uma lista dos arquivos que foram abertos por qualquer um dos processos fornecidos na linha de comando.

Ver os arquivos abertos por um usuário

Para limitar a exibição aos arquivos que foram abertos por um usuário específico, use a opção -u (usuário). Neste exemplo, veremos os arquivos que foram abertos por processos que pertencem ou foram iniciados em nome de Mary.

sudo lsof -u mary

Todos os arquivos listados foram abertos em nome da usuária Mary. Isso inclui arquivos que foram abertos pelo ambiente de área de trabalho, por exemplo, ou simplesmente como resultado do login de Mary.

Excluindo arquivos abertos por um usuário

Para excluir os arquivos que foram abertos por um usuário, use o operador ^. Excluir usuários da lista torna mais fácil encontrar as informações de seu interesse. Você deve usar a opção -u como antes e adicionar o caractere ^ ao início do nome do usuário.

sudo lsof +D /home -u ^mary

Desta vez, a listagem do diretório / home não inclui nenhum dos arquivos que foram abertos pela usuária Mary.

Listar arquivos abertos por um processo

Para listar os arquivos que foram abertos por um processo específico, use a opção -p (processo) e forneça o ID do processo como um parâmetro.

sudo lsof - p 4610

Todos os arquivos que foram abertos pelo ID do processo que você forneceu são listados para você.

Listagem de IDs de processo que abriram um arquivo

Para ver os IDs dos processos que abriram um arquivo específico, use a opção -t (conciso) e forneça o nome do arquivo na linha de comando.

sudo lsof -t /usr/share/mime/mime.cache

Os IDs de processo são exibidos em uma lista simples.

Use pesquisas AND e OR

Vamos listar os arquivos que foram abertos pela usuária Mary, que estão relacionados aos processos SSH. Sabemos que podemos fornecer mais de um item de pesquisa na linha de comando, então isso deve ser fácil.

sudo lsof -u mary -c ssh

Agora vamos dar uma olhada na saída de lsof. Isso não parece certo; existem entradas na saída que foram iniciadas pelo root.

  Como otimizar um SSD no Linux

Não era isso que esperávamos. O que aconteceu?

Quando você fornece vários termos de pesquisa, lsof retorna qualquer arquivo que corresponda ao primeiro termo de pesquisa ou ao segundo termo de pesquisa e assim por diante. Em outras palavras, ele realiza uma pesquisa OR.

Para fazer com que o lsof execute uma pesquisa AND, use a opção -a (e). Isso significa que os únicos arquivos que serão listados serão aqueles que correspondem ao primeiro termo de pesquisa e ao segundo termo de pesquisa e assim por diante.

Vamos tentar novamente e usar a opção -a.

sudo lsof -u mary -c ssh -a

Agora, todos os arquivos da lista foram abertos por ou em nome de Maria e estão associados ao comando SSH.

Atualizando a tela automaticamente

Podemos usar a opção + | -r (repetir) para colocar lsof no modo de repetição. A opção de repetição pode ser aplicada de duas maneiras, + r ou -r. Devemos também adicionar o número de segundos que desejamos que o lsof espere antes de atualizar a exibição.

Usar a opção de repetição em qualquer formato faz com que o lsof exiba os resultados normalmente, mas adiciona uma linha tracejada na parte inferior da tela. Ele aguarda o número de segundos fornecido na linha de comando e, em seguida, atualiza a exibição com um novo conjunto de resultados.

Com a opção -r, isso continuará até você pressionar Ctrl + C. Com o formato + r, ele continuará até que não haja resultados a serem exibidos ou até que você pressione Ctrl + C.

sudo lsof -u mary -c ssh -a -r5

Observe a linha tracejada na parte inferior da lista. Isso separa cada nova exibição de dados quando a saída é atualizada.

Exibindo arquivos associados a conexões de Internet

A opção -i (internet) permite que você veja os arquivos abertos por processos associados a conexões de rede e internet.

lsof -i

Todos os arquivos abertos por conexões de rede e internet são exibidos.

Exibindo arquivos associados a conexões de Internet por ID de processo

Para ver os arquivos abertos por conexões de Internet associadas a um ID de processo específico, adicione a opção -p e a opção -a.

Procuramos aqui os ficheiros abertos por uma ligação à Internet ou rede, por um processo com ID 606.

sudo lsof -i -a -p 606

Todos os arquivos abertos pelo processo ID 606 que estão associados a conexões de internet ou rede são exibidos.

Exibindo arquivos associados a conexões e comandos da Internet

Podemos usar a opção -c (comando) para procurar arquivos abertos por processos específicos. Para procurar arquivos que foram abertos pela Internet ou conexões de rede associadas ao processo ssh, use o seguinte comando:

lsof -i -a -c ssh

Todos os arquivos abertos devido aos processos ssh são listados na saída.

Exibindo arquivos associados a conexões e portas da Internet

Podemos fazer relatório lsof sobre os arquivos que foram abertos por conexões de internet ou rede em uma porta específica. Para fazer isso, usamos o caractere: seguido pelo número da porta.

Aqui, estamos pedindo ao lsof para listar os arquivos que foram abertos por conexões de rede ou Internet usando a porta 22.

lsof -i :22

Todos os arquivos listados foram abertos por processos associados à porta 22 (que é a porta padrão para conexões SSH).

Exibindo arquivos associados a conexões e protocolos de Internet

Podemos pedir ao lsof para mostrar os arquivos que foram abertos por processos associados a conexões de rede e internet, que estão usando um protocolo específico. Podemos escolher entre TCP, UDP e SMTP. Vamos usar o protocolo TCP e ver o que temos.

sudo lsof -i tcp

Os únicos arquivos listados são aqueles abertos por processos que usam o protocolo TCP.

Nós apenas arranhamos a superfície

Essa é uma boa base em alguns casos de uso comuns para lsof, mas há muito mais do que isso. O quanto mais pode ser julgado pelo fato de a página de manual ter mais de 2.800 linhas.

O comando lsof pode ser usado para se aprofundar ainda mais nos estratos de arquivos abertos e pseudo-arquivos. Fornecemos um mapa de esboço; o atlas está em a página man.