linux-tmp-files
Linuxシステムの/tmpディレクトリとそのサブディレクトリを探索し、すべてのファイルの一覧を照会します。フォレンジック分析時に一時ディレクトリに残された悪意のあるファイルや攻撃の痕跡を検出するために活用できます。
コマンドプロパティ
| 項目 | 説明 |
|---|---|
| コマンドタイプ | ドライバークエリ |
| 必要な権限 | 管理者 |
| ライセンス使用量 | ライセンス集計コマンド |
| 並列実行 | 非対応 |
| 分散実行 | データノードで実行(mapper) |
構文
linux-tmp-files
出力フィールド
| フィールド | タイプ | 説明 |
|---|---|---|
file_path | 文字列 | ファイルの絶対パス |
file_name | 文字列 | ファイル名 |
file_type | 文字列 | ファイル種別。file: 通常ファイル、directory: ディレクトリ |
permissions | 文字列 | POSIXファイルパーミッション文字列(例: rwxr-xr-x)。読み取れない場合はnull |
file_size | 64ビット整数 | ファイルサイズ(バイト) |
file_ctime | 日時 | ファイル作成時刻 |
file_mtime | 日時 | ファイルの最終更新時刻 |
file_atime | 日時 | ファイルの最終アクセス時刻 |
owner_read | ブール値 | 所有者の読み取り権限 |
owner_write | ブール値 | 所有者の書き込み権限 |
owner_execute | ブール値 | 所有者の実行権限 |
group_read | ブール値 | グループの読み取り権限 |
group_write | ブール値 | グループの書き込み権限 |
group_execute | ブール値 | グループの実行権限 |
others_read | ブール値 | その他のユーザーの読み取り権限 |
others_write | ブール値 | その他のユーザーの書き込み権限 |
others_execute | ブール値 | その他のユーザーの実行権限 |
エラーコード
パースエラー
| エラーコード | メッセージ | 説明 |
|---|---|---|
95040 | no-read-permission | 管理者権限なしで実行した場合 |
ランタイムエラー
該当なし
説明
linux-tmp-filesコマンドは/tmpディレクトリを再帰的に探索してすべてのファイルのメタデータを収集します。各ファイルについてファイルパス、サイズ、時刻情報、POSIXファイルパーミションなどの情報を出力フィールドに割り当てます。
シンボリックリンクをたどってファイル属性を読み取ります。ファイルへのアクセスに失敗した場合(権限不足など)はそのファイルをスキップして探索を続けます。
このコマンドには管理者権限が必要です。権限がない場合はパース段階でエラーが発生します。
使用例
-
一時ディレクトリのファイル一覧を照会する
linux-tmp-files/tmpディレクトリのすべてのファイル一覧を照会します。 -
サイズの大きい一時ファイルを照会する
linux-tmp-files | search file_type == "file" | sort -file_size | limit 20/tmpディレクトリから通常ファイルのみをフィルタリングし、サイズの降順で並べ替えて上位20件を照会します。 -
一時ディレクトリの実行ファイルを検出する
linux-tmp-files | search file_type == "file" and owner_execute == true/tmpディレクトリで実行権限が付与されたファイルを照会します。一時ディレクトリに実行ファイルが存在することはセキュリティインシデントの兆候である可能性があります。