whois
指定したフィールドのドメイン名に対してWHOIS照会を実行し、結果を line フィールドに出力します。外部WHOISサーバーにリアルタイムで照会するため、ネットワークアクセスが可能な環境で使用します。
コマンドプロパティ
| 項目 | 説明 |
|---|---|
| コマンドタイプ | 加工クエリ |
| 必要な権限 | なし |
| ライセンス使用量 | 該当なし |
| 並列実行 | 非対応 |
| 分散実行 | 非対応 |
構文
whois FIELD
対象
FIELD- WHOIS照会するドメイン名が格納されたフィールド名
出力フィールド
| フィールド | タイプ | 説明 |
|---|---|---|
line | 文字列 | WHOISサーバーから返された応答の全文テキスト。WHOIS照会に失敗した場合や該当ドメイン情報がない場合は出力しません。 |
エラーコード
パースエラー
該当なし
ランタイムエラー
該当なし
説明
whois コマンドは、IANA WHOISサーバー(whois.iana.org)にドメインを照会し、そのドメインを管轄するWHOISサーバーのアドレスを最初に確認します。その後、該当サーバーにWHOISプロトコル(TCPポート43)で接続してドメイン登録情報を照会します。
照会結果はUTF-8でデコードして line フィールドに文字列として格納します。ソケットタイムアウトは5秒で、WHOIS照会に失敗した場合は該当レコードをそのまま通過させます。
指定したフィールド値がnullの場合は該当レコードをそのまま通過させます。
Caution
`whois` コマンドはレコードごとに外部ネットワークに接続するため、処理速度が遅くなります。大量のレコードに適用すると、クエリの実行時間が大幅に増加する可能性があります。必要なドメインのみを選別した後に使用してください。
使用例
-
ドメインのWHOIS情報を照会
table duration=1h dns_logs | stats count by domain | sort -count | limit 10 | whois domainDNSログから上位10件のドメインのWHOIS情報を照会します。
-
新規ドメイン登録の確認
table duration=1d dns_logs | dga-features | search ngram_prob_avg < 0.001 | stats count by domain | whois domain | search line contains "Creation Date"DGA特徴を持つドメインのWHOIS情報を照会し、登録日情報が含まれるレコードをフィルタリングします。