esedb-columns
ESE(Extensible Storage Engine) 데이터베이스 파일에서 지정한 테이블의 컬럼 정의 목록을 조회합니다. 각 컬럼의 식별자, 이름, 데이터 타입을 반환합니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 클러스터 관리자 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 수집 노드에서 실행 (mapper) |
문법
옵션
table=STR- 컬럼 정의를 조회할 ESE 데이터베이스 테이블 이름. 미지정 시 모든 테이블의 컬럼 정의를 조회합니다.
대상
FILE_PATH- 조회할 ESE 데이터베이스 파일의 경로. 와일드카드(
*)를 사용하여 여러 파일을 지정할 수 있습니다.
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
_file | 문자열 | ESE 데이터베이스 파일 이름 |
table_name | 문자열 | 테이블 이름 |
column_id | 32비트 정수 | 컬럼 식별자 |
column_name | 문자열 | 컬럼 이름 |
column_type | 문자열 | 컬럼 데이터 타입. 타입을 알 수 없는 경우 unknown을 반환함 |
오류 코드
파싱 오류
해당 사항 없음
런타임 오류
| 오류 코드 | 메시지 | 설명 | 후처리 동작 |
|---|---|---|---|
| - | cannot load ESE DB file: [경로] | ESE 데이터베이스 파일을 읽을 수 없는 경우 | 쿼리 실행을 중단함 |
설명
esedb-columns 명령어는 ESE 데이터베이스 파일을 열어 지정한 테이블의 컬럼 정의를 조회합니다. ESE는 윈도우 운영 체제에서 사용하는 내장 데이터베이스 엔진으로, Internet Explorer 방문 기록(WebCacheV01.dat), Windows Search 인덱스(Windows.edb) 등 다양한 윈도우 아티팩트에서 사용됩니다.
table 옵션을 지정하면 해당 테이블의 컬럼만 조회합니다. 미지정 시 데이터베이스의 모든 테이블에 대해 컬럼 정의를 조회합니다.
esedb-records 명령어로 레코드를 조회하기 전에 이 명령어로 테이블의 스키마를 먼저 확인할 수 있습니다.
이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.
사용 예
각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.
-
ESE 데이터베이스의 특정 테이블 컬럼 조회
esedb-columns table=Containers /opt/logpresso/evidence/WebCacheV01.datWebCacheV01.dat파일의Containers테이블에 정의된 컬럼 목록을 조회합니다. -
모든 테이블의 컬럼 조회
esedb-columns /opt/logpresso/evidence/WebCacheV01.dattable옵션을 생략하여 데이터베이스의 모든 테이블에 대한 컬럼 정의를 조회합니다. -
여러 ESE 데이터베이스 파일의 컬럼 조회
esedb-columns table=SystemIndex_PropertyStore /opt/logpresso/evidence/*.edb지정한 디렉터리의 모든 EDB 파일에서
SystemIndex_PropertyStore테이블의 컬럼 정의를 조회합니다.
호환성
esedb-columns 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.