ie-index-file
Internet Explorerのindex.datファイル(MSIECF形式)をパースして、キャッシュおよび閲覧履歴を照会します。URL、ファイル名、アクセス時刻、更新時刻などの情報を構造化されたフィールドとして出力します。
コマンドプロパティ
| 項目 | 説明 |
|---|---|
| コマンドタイプ | ドライバークエリ |
| 必要な権限 | なし |
| ライセンス使用量 | 集計あり |
| 並列実行 | 非対応 |
| 分散実行 | データノードで実行(mapper) |
構文
ie-index-file [zippath=STR] [zipcharset=STR] FILE_PATH
オプション
zippath=STRindex.datファイルが含まれるZIPファイルのパス。ZIPファイル内部のファイルを直接照会する際に使用します。zipcharset=STR- ZIPファイルエントリの文字セット(デフォルト:
utf-8)
対象
FILE_PATH- 照会するInternet Explorerの
index.datファイルのパス。ワイルドカード(*)を使用して複数のファイルを指定できます。index.datファイルはWindows XP以前のInternet Explorerが使用するキャッシュファイル形式で、一般的にC:\Documents and Settings\<username>\Local Settings\Temporary Internet Files\Content.IE5\index.datに存在します。
出力フィールド
| フィールド | タイプ | 説明 |
|---|---|---|
_file | 文字列 | 元のファイル名 |
_time | 日付 | レコードのタイムスタンプ |
type | 文字列 | レコードの種別(URLなど) |
location | 文字列 | キャッシュまたは閲覧URL |
file_name | 文字列 | キャッシュファイル名 |
last_accessed | 日付 | 最終アクセス時刻 |
last_modified | 日付 | 最終更新時刻 |
エラーコード
パースエラー
該当なし
ランタイムエラー
| エラーコード | メッセージ | 説明 | 後処理動作 |
|---|---|---|---|
| - | cannot read MSIE cache file PATH | index.datファイルを読み取りまたはパースできない場合 | クエリ実行を中断 |
説明
ie-index-fileコマンドは、Internet ExplorerがMSIECF(Microsoft Internet Explorer Cache File)形式で使用するindex.datファイルをパースします。このファイルはWindows XP以前のInternet ExplorerでWebキャッシュ、クッキー、閲覧履歴を保存するために使用されます。
ファイル内のURLレコードをパースし、アクセスしたURL、キャッシュファイル名、タイムスタンプ情報を出力します。
使用例
-
index.datファイルを照会する
ie-index-file /opt/logpresso/evidence/index.dat指定したパスの
index.datファイルからすべてのレコードを照会します。 -
特定のドメインの閲覧履歴をフィルタリングする
ie-index-file /opt/logpresso/evidence/index.dat | search location == "*example.com*"特定のドメインのキャッシュまたは閲覧履歴のみをフィルタリングします。
-
ZIPファイル内のindex.datを照会する
ie-index-file zippath=/opt/logpresso/evidence/artifacts.zip Content.IE5/index.datZIPファイル内の
index.datファイルからレコードを照会します。