怎么查linux上谁删了文件,如何在 Linux 下快速找到被删除的文件?

日常运维过程中，我们经常需要处理磁盘空间问题，当接到告警后，第一时间会去找那些大文件，一般比如 Centos，可能大文件就是 /var/log/messages。

但有的时候，会出现怎么也查不到大文件的情况，通过 du 查找的时候，统计出来的大小，跟 df 显示的占用空间对应不上。

如果通过 df -i 查看inode没有满的话，那么极有可能，是有大文件被直接rm了，但是仍然有进程打开了这个文件。

这种情况，由于进程没有退出，因此文件占用的空间并不会释放；直到进程退出，磁盘空间才会真正释放。

如何找到是哪个进程打开了该文件

Linux上，由于进程仍然存活，因此可以通过查看所有进程打开的 fd，如果该文件已经被删除，则查看时，会显示(deleted)。

示例如下：

$ sudo find/proc/*/fd -ls | grep '(deleted)'

3886090lrwx ------ 1 zerotier-one zerotier-one 64 Aug 21 00:19 /proc/29400/fd/4 -> /tmp/ibpX85Vd (deleted)

3886100lrwx ------ 1 zerotier-one zerotier-one 64 Aug 21 00:19 /proc/29400/fd/5 -> /tmp/ibCwAgAj (deleted)

3886110lrwx ------ 1 zerotier-one zerotier-one 64 Aug 21 00:19 /proc/29400/fd/6 -> /tmp/ibRZ5rep (deleted)

3886120lrwx ------ 1 zerotier-one zerotier-one 64 Aug 21 00:19 /proc/29400/fd/7 -> /tmp/ibBuNEzA (deleted)