chrome-search-terms
Chrome ブラウザのHistory SQLite データベースファイルを解析して検索語履歴を取得します。検索に使用したキーワード、検索結果ページの URL とタイトル、最終訪問日時などを構造化されたフィールドとして変換して出力します。
コマンドプロパティ
| 項目 | 説明 |
|---|---|
| コマンドタイプ | ドライバークエリ |
| 必要な権限 | なし |
| ライセンス使用量 | 集計あり |
| 並列実行 | 非対応 |
| 分散実行 | データノードで実行(mapper) |
構文
chrome-search-terms [zippath=STR] [zipcharset=STR] FILE_PATH
オプション
zippath=STR- History ファイルが含まれる ZIP ファイルのパス。ZIP ファイル内部の History ファイルを直接取得する際に使用します。
zipcharset=STR- ZIP ファイルエントリの文字セット(デフォルト:
utf-8)。
対象
FILE_PATH- 取得する Chrome ブラウザの
HistorySQLite ファイルのパス。ワイルドカード(*)を使用して複数のファイルを指定できます。Chrome ブラウザの History ファイルは通常C:\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\Historyにあります。
出力フィールド
| フィールド | タイプ | 説明 |
|---|---|---|
_time | timestamp | 検索結果ページの最終訪問日時 |
keywords | string | 検索に使用したキーワード |
title | string | 検索結果ページのタイトル |
url | string | 検索結果ページの URL |
エラーコード
パースエラー
該当なし
ランタイムエラー
| エラーコード | メッセージ | 説明 | 後処理動作 |
|---|---|---|---|
| - | cannot load chrome history database: パス | 指定したパスの History ファイルを読み取れない場合 | クエリ実行を中断 |
説明
chrome-search-termsコマンドは、Chrome ブラウザのHistory SQLite データベースファイルのkeyword_search_termsテーブルとurlsテーブルを読み取って検索語履歴を取得します。
コマンドはまずurlsテーブルで URL、タイトル、最終訪問日時のマッピングを構成した後、keyword_search_termsテーブルの各レコードに該当する URL 情報を結合して出力します。
_timeフィールドはurlsテーブルのlast_visit_timeカラムから Chrome 内部の WebKit タイムスタンプ(マイクロ秒単位)を日付タイプに変換して割り当てます。
keyword_search_termsテーブルのtermカラム値はkeywordsフィールドに割り当てます。
ZIP ファイル内部の History ファイルを取得するには、zippathオプションに ZIP ファイルのパスを指定し、対象に ZIP 内部のファイルパスを指定します。
使用例
-
Chrome 検索語履歴を取得
chrome-search-terms /opt/logpresso/evidence/History指定したパスの
Historyファイルからすべての検索語履歴を取得します。 -
ZIP ファイル内部の History ファイルを取得
chrome-search-terms zippath=/opt/logpresso/evidence/artifacts.zip HistoryZIP ファイル内部の
Historyファイルから検索語履歴を取得します。 -
特定キーワードを検索
chrome-search-terms /opt/logpresso/evidence/History | search keywords == "*logpresso*"特定キーワードを含む検索語履歴をフィルタリングします。