esedb-records
ESE(Extensible Storage Engine)データベースファイルから、指定したテーブルのレコードを取得します。テーブルに定義されたカラムに基づいて、各レコードの値を出力フィールドに割り当てます。
コマンドプロパティ
| 項目 | 説明 |
|---|---|
| コマンドタイプ | ドライバークエリ |
| 必要な権限 | なし |
| ライセンス使用量 | カウントあり |
| 並列実行 | 非対応 |
| 分散実行 | データノードで実行(mapper) |
構文
esedb-records table=STR FILE_PATH
オプション
table=STR- レコードを取得するESEデータベースのテーブル名
対象
FILE_PATH- 取得するESEデータベースファイルのパス。ワイルドカード(
*)を使用して複数のファイルを指定できます。
出力フィールド
| フィールド | タイプ | 説明 |
|---|---|---|
_file | string | ESEデータベースファイル名 |
_table | string | テーブル名 |
| (動的) | - | テーブルに定義されたカラムに応じて動的にフィールドが生成されます。esedb-columnsコマンドでテーブルのカラム定義を確認できます |
エラーコード
解析エラー
| エラーコード | メッセージ | 説明 |
|---|---|---|
table-option-is-required | - | tableオプションが指定されていない場合 |
ランタイムエラー
| エラーコード | メッセージ | 説明 | 後処理動作 |
|---|---|---|---|
| - | cannot load ESE DB file: [パス] | ESEデータベースファイルを読み取れない場合 | クエリを停止します |
説明
esedb-recordsコマンドは、ESEデータベースファイルを開いて指定したテーブルのすべてのレコードを取得します。ESEはWindowsオペレーティングシステムで使用される組み込みデータベースエンジンであり、Internet Explorer閲覧履歴(WebCacheV01.dat)、Windows Searchインデックス(Windows.edb)など、さまざまなWindowsアーティファクトで使用されています。
出力フィールドは_fileと_tableの固定フィールドに加え、テーブルのカラム定義に応じて動的に生成されます。フィールドの順序は_file、_tableに続いてテーブルのカラム順序に従います。
取得するテーブルのカラム構造を事前に確認するには、esedb-columnsコマンドを使用します。
使用例
-
ESEデータベースのテーブルレコードを取得する
esedb-records table=Containers /opt/logpresso/evidence/WebCacheV01.datWebCacheV01.datファイルのContainersテーブルからすべてのレコードを取得します。 -
複数のESEデータベースファイルのレコードを取得する
esedb-records table=SystemIndex_PropertyStore /opt/logpresso/evidence/*.edb指定したディレクトリ内のすべてのEDBファイルから
SystemIndex_PropertyStoreテーブルのレコードを取得します。 -
特定の条件でレコードをフィルタリングする
esedb-records table=Containers /opt/logpresso/evidence/WebCacheV01.dat | search Name == "*History*"Containersテーブルから名前にHistoryが含まれるレコードのみをフィルタリングします。