Linux进程文件占用查看方法

在Linux系统中排查文件占用问题（如日志写入异常、配置文件被锁定、磁盘空间未释放等）时，lsof工具是精准定位进程级文件句柄的首选利器——它支持按PID、进程名、目录、用户等多种维度灵活查询，并可结合/proc/PID/fd目录进行底层验证，无论是运维排障还是日常诊断，都能快速锁定“谁在用哪个文件”，让隐匿的资源占用无所遁形。

如果您需要确认某个进程当前打开了哪些文件，例如排查日志写入异常、定位被占用的配置文件或诊断磁盘空间未释放问题，则可利用 Linux 内置的 lsof 工具进行精确查看。以下是多种可行的操作方法：

一、使用 lsof -p 查看指定进程打开的所有文件

该方法通过进程 PID 直接列出该进程持有的全部文件描述符，覆盖普通文件、目录、共享库、socket、设备节点等所有类型资源，是定位进程级文件占用最直接的方式。

1、执行 ps aux | grep 关键词 获取目标进程的 PID（例如查 nginx：ps aux | grep nginx）。

2、运行 sudo lsof -p PID，其中 PID 替换为实际数值（如 sudo lsof -p 1234）。

3、在输出中关注 NAME 列，识别出具体路径；FD 列中的 cwd 表示当前工作目录，txt 表示可执行代码，REG 表示常规文件，DEL 表示已删除但仍被占用的文件。

二、使用 /proc/PID/fd 目录手动验证打开的文件

当 lsof 不可用、权限受限或需绕过工具直接观察内核视图时，/proc 文件系统提供了原始接口：每个进程的 fd 子目录包含指向其所有打开文件描述符的符号链接，可直接读取和比对。

1、确认目标进程 PID（同上，可通过 ps 或 pgrep 获取）。

2、执行 ls -l /proc/PID/fd/ 列出全部文件描述符链接（如 ls -l /proc/1234/fd/）。

3、结合 grep "目标文件名" 过滤结果，例如 ls -l /proc/1234/fd/ | grep "access.log"。

4、若链接目标含 (deleted) 字样，表明该文件已被 rm 删除但进程仍持有句柄。

三、使用 lsof -c 按进程名批量筛选打开的文件

该方式适用于已知进程命令名但不确定具体 PID 的场景，尤其适合服务类进程（如 sshd、mysqld、nginx），可一次性列出所有匹配进程实例所打开的全部文件。

1、运行 sudo lsof -c 进程名，例如 sudo lsof -c nginx 或 sudo lsof -c mysqld。

2、如需同时匹配多个进程名，可重复使用 -c 参数：sudo lsof -c sshd -c crond。

3、输出中每行对应一个文件描述符记录，注意区分不同 PID 对应的 COMMAND 和 USER 字段，避免混淆系统用户与服务用户（如 www-data、mysql）。

四、使用 lsof +d 递归查看目录下被打开的所有文件

当怀疑某目录（如 /var/log、/tmp）中存在被进程长期占用的文件导致 umount 失败或磁盘空间无法释放时，此方法可完整枚举该目录及其子目录中所有被打开的文件路径。

1、执行 sudo lsof +d /path/to/directory，例如 sudo lsof +d /var/log。

2、注意该参数不支持通配符，路径必须为绝对路径且结尾不带斜杠。

3、若需深度遍历子目录，使用 +D（大写 D）替代 +d，例如 sudo lsof +D /var/log。

五、使用 lsof -u 按用户筛选其进程打开的文件

该方法用于隔离特定用户上下文下的文件占用情况，特别适用于多用户环境或 Web 服务以非 root 用户运行（如 www-data、nginx、tomcat）的情形，避免被其他用户进程干扰判断。

1、确定目标用户名，例如 www-data 或 postgres。

2、运行 sudo lsof -u 用户名，例如 sudo lsof -u www-data。

3、可叠加路径过滤：sudo lsof -u www-data /var/log/nginx/access.log，精准定位该用户下哪个进程正在访问该日志文件。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。