En los sistemas operativos FreeBSD/OpenBSD, la herramienta fstat permite listar los archivos abiertos por un proceso pasando un PID como parámetro.

El utilitario fstat identifica los archivos abiertos. Un archivo se considera abierto por un procesos si fue explícitamente abierto, si es el directorio de trabajo actual, si es el directorio raíz, si es el directorio raíz de un jail, si es el archivo ejecutable o la traza del kernel para dicho proceso.

Cuando se ejecuta sin opciones, fstat reporta todos los archivos abiertos en el sistema.

Sin embargo, al utilizar la opción -p, es posible listar todos los archivos abiertos por un proceso específico. Sólo basta pasar su PID (process ID) como parámetro. Veamos un ejemplo:

root@fbsd:~ # ps aux | grep 'syslo[g]'
root     602   0.0  0.0   6416   2428  -  Ss   15Oct19      4:03.79 /usr/sbin/syslogd -s

El proceso corriendo el demonio de syslogd tiene PID 602. Es posible conocer todos los archivos que tiene abiertos con fstat:

root@fbsd:~ # fstat -p 602 
USER     CMD          PID   FD MOUNT      INUM MODE         SZ|DV R/W
root     syslogd      602 text /        552990 -r-xr-xr-x   45304  r
root     syslogd      602   wd /             4 drwxr-xr-x      28  r
root     syslogd      602 root /             4 drwxr-xr-x      28  r
root     syslogd      602    0 /dev         26 crw-rw-rw-    null rw
root     syslogd      602    1 /dev         26 crw-rw-rw-    null rw
root     syslogd      602    2 /dev         26 crw-rw-rw-    null rw
root     syslogd      602    3 /         20528 -rw-------       3  w
root     syslogd      602    4* local dgram fffff8004f2422d0
root     syslogd      602    5* local dgram fffff8004f143870
root     syslogd      602    6* internet6 dgram udp fffff8003dd781d0
root     syslogd      602    7* internet dgram udp fffff8003dd78000
root     syslogd      602    8 /dev         37 crw-------    klog  r
root     syslogd      602   10 /dev         11 crw-------  console  w
root     syslogd      602   11 /var/log   4215 -rw-r--r--   51526  w
root     syslogd      602   12 /var/log   1083 -rw-------  251846  w
root     syslogd      602   13 /var/log   4213 -rw-------   14149  w
root     syslogd      602   14 /var/log   1054 -rw-r-----     391  w
root     syslogd      602   15 /var/log     15 -rw-r--r--      71  w
root     syslogd      602   16 /var/log     21 -rw-------      71  w
root     syslogd      602   17 /var/log   1032 -rw-------   46288  w
root     syslogd      602   18 /var/log   3563 -rw-------    3951  w
root     syslogd      602   19 /var/log     18 -rw-r-----      71  w

La columna "FD" identifica el número de descriptor de archivo en la tabla de archivos abiertos por proceso, o alguno de los siguientes valores especiales:

    jail    - jail root directory
    mmap    - memory-mapped file
    root    - root inode
    text    - executable text inode
    tr      - kernel trace file
    wd      - current working directory

Si el número en esta columna contiene un asterisco, significa que se trata de un pipe, socket, o hay un error.

El inconveniente con esta herramienta es que no muestra el nombre de cada archivo abierto, sino sólo su número de inodo en el sistema de archivos de la columna "MOUNT". Si se requiere conocer la ruta o nombre del archivo, será necesario hacer una búsqueda por inodo con find. Por ejemplo, en la salida anterior, el descriptor de archivo número 11 corresponde con el inodo 4215 en el sistema de archivos /var/log:

root@fbsd:~ # find /var/log/ -inum 4215
/var/log/messages

Es posible automatizar la búsqueda del nombre para todos los archivos abiertos utilizando el siguiente one-liner:

root@fbsd:~ # fstat -p 602 | tail -n +5 | grep -v '*' | awk '{printf($4 ": "); system("find " $5 " -inum " $6 " -print -quit")}'
0: /dev/null
1: /dev/null
2: /dev/null
3: /var/run/syslog.pid
8: /dev/klog
10: /dev/console
11: /var/log/messages
12: /var/log/security
13: /var/log/auth.log
14: /var/log/maillog
15: /var/log/lpd-errs
16: /var/log/xferlog
17: /var/log/cron
18: /var/log/debug.log
19: /var/log/ppp.log

Primero se obtiene la salida de fstat. Luego se eliminan las primeras 5 filas (ajustar este número dependiendo de cada proceso) con el objetivo de obtener sólo los PID válidos, y se filtran aquellos que contengan asterisco. Finalmente se utiliza awk para armar el comando que hace la búsqueda con find. Los parámetros -print -quit en el comando find se utilizan para que la búsqueda se detenga al obtener la primera coincidencia.

De esta forma se obtiene la lista de todos los archivos abiertos por un proceso en particular en un sistema FreeBSD u OpenBSD.

Para más información, consultar las páginas de manual de fstat, awk y find:

• man fstat
• man awk
• man find