esedb-columns
ESE(Extensible Storage Engine)データベースファイルから、指定したテーブルのカラム定義一覧を取得します。各カラムの識別子、名前、データタイプを返します。
コマンドプロパティ
| 項目 | 説明 |
|---|---|
| コマンドタイプ | ドライバークエリ |
| 必要な権限 | なし |
| ライセンス使用量 | カウントあり |
| 並列実行 | 非対応 |
| 分散実行 | データノードで実行(mapper) |
構文
esedb-columns [table=STR] FILE_PATH
オプション
table=STR- カラム定義を取得するESEデータベースのテーブル名。指定しない場合はすべてのテーブルのカラム定義を取得します。
対象
FILE_PATH- 取得するESEデータベースファイルのパス。ワイルドカード(
*)を使用して複数のファイルを指定できます。
出力フィールド
| フィールド | タイプ | 説明 |
|---|---|---|
_file | string | ESEデータベースファイル名 |
table_name | string | テーブル名 |
column_id | integer | カラム識別子 |
column_name | string | カラム名 |
column_type | string | カラムのデータタイプ。タイプが不明な場合はunknownを返します |
エラーコード
解析エラー
N/A
ランタイムエラー
| エラーコード | メッセージ | 説明 | 後処理動作 |
|---|---|---|---|
| - | cannot load ESE DB file: [パス] | ESEデータベースファイルを読み取れない場合 | クエリを停止します |
説明
esedb-columnsコマンドは、ESEデータベースファイルを開いて指定したテーブルのカラム定義を取得します。ESEはWindowsオペレーティングシステムで使用される組み込みデータベースエンジンであり、Internet Explorer閲覧履歴(WebCacheV01.dat)、Windows Searchインデックス(Windows.edb)など、さまざまなWindowsアーティファクトで使用されています。
tableオプションを指定すると、そのテーブルのカラムのみを取得します。指定しない場合はデータベース内のすべてのテーブルのカラム定義を取得します。
esedb-recordsコマンドでレコードを取得する前に、このコマンドでテーブルのスキーマを確認できます。
使用例
-
ESEデータベースの特定テーブルのカラムを取得する
esedb-columns table=Containers /opt/logpresso/evidence/WebCacheV01.datWebCacheV01.datファイルのContainersテーブルに定義されたカラム一覧を取得します。 -
すべてのテーブルのカラムを取得する
esedb-columns /opt/logpresso/evidence/WebCacheV01.dattableオプションを省略して、データベース内のすべてのテーブルのカラム定義を取得します。 -
複数のESEデータベースファイルのカラムを取得する
esedb-columns table=SystemIndex_PropertyStore /opt/logpresso/evidence/*.edb指定したディレクトリ内のすべてのEDBファイルから
SystemIndex_PropertyStoreテーブルのカラム定義を取得します。