Linux如何利用lsof命令恢复删除的文件

72次阅读
没有评论

共计 3540 个字符,预计需要花费 9 分钟才能阅读完成。

这篇文章主要介绍 Linux 如何利用 lsof 命令恢复删除的文件,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!

lsof 命令

lsof 命令用于查看你进程开打的文件,打开文件的进程,进程打开的端口 (TCP、UDP)。找回 / 恢复删除的文件。是十分方便的系统监视工具,因为 lsof 命令需要访问核心内存和各种文件,所以需要 root 用户执行。

在 linux 环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议  (UDP)   套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息,因此通过 lsof 工具能够查看这个列表对系统监测以及排错将是很有帮助的。

语法

lsof(选项)

参数

-a:列出打开文件存在的进程;

-c 进程名:列出指定进程所打开的文件;

-g:列出 GID 号进程详情;

-d 文件号:列出占用该文件号的进程;

+d 目录:列出目录下被打开的文件;

+D 目录:递归列出目录下被打开的文件;

-n 目录:列出使用 NFS 的文件;

-i 条件:列出符合条件的进程。(4、6、协议、: 端口、@ip)

-p 进程号:列出指定进程号所打开的文件;

-u:列出 UID 号进程详情;

-h:显示帮助信息;

-v:显示版本信息。

使用

查看

lsof -i:(端口) 查看这个端口有那些进程在访问,比如 22 端口

shell  lsof -i:22 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME sshd 1939 root 3u IPv4 12317 0t0 TCP *:ssh (LISTEN) sshd 1939 root 4u IPv6 12321 0t0 TCP *:ssh (LISTEN) sshd 2790 root 3u IPv4 15229 0t0 TCP 192.168.178.128:ssh- 192.168.178.1:64601 (ESTABLISHED) sshd 2824 root 3u IPv4 15528 0t0 TCP 192.168.178.128:ssh- 192.168.178.1:64673 (ESTABLISHED) sshd 2990 root 3u IPv4 15984 0t0 TCP 192.168.178.128:ssh- 192.168.178.1:64686 (ESTABLISHED) sshd 14695 root 3u IPv4 39558 0t0 TCP 192.168.178.128:ssh- 192.168.178.1:49662 (ESTABLISHED)

lsof 输出各列信息的意义如下:

COMMAND:进程的名称

PID:进程标识符

USER:进程所有者

FD:文件描述符,应用程序通过文件描述符识别该文件。如 cwd、txt 等

TYPE:文件类型,如 DIR、REG 等

DEVICE:指定磁盘的名称

SIZE:文件的大小

NODE:索引节点 (文件在磁盘上的标识)

NAME:打开文件的确切名称

恢复文件

利用 lsof 可以恢复一些系统日志,前提是这个进程必须存在。这里就拿最常用的 /var/log/messages 来举例说明,大家在做测试的时候 *** 先备份一下。

# 备份 shell  cp /var/log/message /var/log/message_bac http://embeddedlinux.org.cn/ shell  lsof |grep /var/log/message rsyslogd 1737 root 1w REG 8,2 5716123 652638 /var/log/messages

进程在运行中,接下来我就把 /var/log/messages 这个文件删掉

shell  rm /var/log/messages

删掉之后,我再来看看这个进程的变化

shell  lsof |grep /var/log/messages rsyslogd 1737 root 1w REG 8,2 5716123 652638 /var/log/messages (deleted)

大家看到有变化了吧,对比两个之后发现多了 (deleted)。要找到这个文件在哪还要看看这个

PID:1737 FD:1 那我们有直接进入 /proc/1737/FD/ 1 用 ll 查看一下

shell  cd /proc/1737/fd/ shell  ll total 0 lrwx------ 1 root root 64 Dec 23 13:00 0 -  socket:[11442] l-wx------ 1 root root 64 Dec 23 13:00 1 -  /var/log/messages (deleted) l-wx------ 1 root root 64 Dec 23 13:00 2 -  /var/log/secure lr-x------ 1 root root 64 Dec 23 13:00 3 -  /proc/kmsg l-wx------ 1 root root 64 Dec 23 13:00 4 -  /var/log/maillog

看到了 1 对应 /var/log/messages (deleted),看看文件是不是我们要的文件:

shell  head -5 1 Nov 14 03:11:11 localhost kernel: imklog 5.8.10, log source = /proc/kmsg started. Nov 14 03:11:11 localhost rsyslogd: [origin software= rsyslogd  swVersion= 5.8.10  x-pid= 1241  x-info= http://www.rsyslog.com] start Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpuset Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpu Nov 14 03:11:11 localhost kernel: Linux version 2.6.32-431.el6.x86_64 (mockbuild@c6b8.bsys.dev.CentOS.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Fri Nov 22 03:15:09 UTC 2013

对比备份文件:

shell  head -5 /var/log/message_bac Nov 14 03:11:11 localhost kernel: imklog 5.8.10, log source = /proc/kmsg started. Nov 14 03:11:11 localhost rsyslogd: [origin software= rsyslogd  swVersion= 5.8.10  x-pid= 1241  x-info= http://www.rsyslog.com] start Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpuset Nov 14 03:11:11 localhost kernel: Initializing cgroup subsys cpu Nov 14 03:11:11 localhost kernel: Linux version 2.6.32-431.el6.x86_64 (mockbuild@c6b8.bsys.dev.centos.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Fri Nov 22 03:15:09 UTC 2013

对比发现数据是一样的,恢复

shell  cat 1   /var/log/messages

再次提醒,恢复前提是这个进程必须存在。

以上是“Linux 如何利用 lsof 命令恢复删除的文件”这篇文章的所有内容,感谢各位的阅读!希望分享的内容对大家有帮助,更多相关知识,欢迎关注丸趣 TV 行业资讯频道!

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-08-25发表,共计3540字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)