etl-file
Windows ETL(Event Trace Log) 파일을 파싱하여 이벤트 추적 레코드를 조회합니다. MOF 기반 시스템 추적 레코드와 ETW(Event Tracing for Windows) 레코드를 지원하며, 프로세스, 스레드, 디스크 I/O 등의 시스템 이벤트를 분석할 수 있습니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 없음 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 수집 노드에서 실행 (mapper) |
문법
옵션
zippath=STR- ETL 파일이 포함된 ZIP 파일의 경로. ZIP 파일 내부의 ETL 파일을 직접 조회할 때 사용합니다.
zipcharset=STR- ZIP 파일 엔트리의 문자 집합 (기본값:
utf-8)
대상
FILE_PATH- 조회할 ETL 파일의 경로. 와일드카드(
*)를 사용하여 여러 파일을 지정할 수 있습니다.
출력 필드
ETL 파일에는 System Trace, Trace, Event 세 가지 유형의 레코드가 포함됩니다. 각 레코드 유형에 따라 출력 필드가 다릅니다.
공통 필드:
| 필드 | 타입 | 설명 |
|---|---|---|
_file | 문자열 | 원본 ETL 파일 이름 |
_time | 날짜 | 이벤트 발생 시각 |
entry_type | 문자열 | 레코드 유형. System Trace, Trace, Event 중 하나 |
thread_id | 64비트 정수 | 스레드 식별자 |
process_id | 64비트 정수 | 프로세스 식별자 |
System Trace 레코드 추가 필드:
| 필드 | 타입 | 설명 |
|---|---|---|
opcode | 32비트 정수 | 이벤트 작업 코드 |
event_trace_group | 문자열 | 이벤트 추적 그룹. HEADER, PROCESS, THREAD, DISKIO, NETWORK 등 |
version | 32비트 정수 | 레코드 버전 |
kernel_time | 날짜 | 커널 시간 |
user_time | 날짜 | 사용자 시간 |
Trace 레코드 추가 필드:
| 필드 | 타입 | 설명 |
|---|---|---|
guid | 문자열 | 이벤트 공급자 GUID |
processor_time | 날짜 | 프로세서 타임스탬프 |
user_data | 바이너리 | 이벤트 사용자 데이터 |
Event 레코드 추가 필드:
| 필드 | 타입 | 설명 |
|---|---|---|
provider_id | 문자열 | 이벤트 공급자 GUID |
activity_id | 문자열 | 이벤트 활동 GUID |
processor_time | 64비트 정수 | 프로세서 타임스탬프 |
오류 코드
파싱 오류
해당 사항 없음
런타임 오류
| 오류 코드 | 메시지 | 설명 | 후처리 동작 |
|---|---|---|---|
| - | cannot load etl file | ETL 파일을 읽거나 파싱할 수 없는 경우 | 쿼리 실행을 중단함 |
설명
etl-file 명령어는 Windows ETL 파일을 파싱하여 이벤트 추적 레코드를 조회합니다. ETL 파일은 Windows 이벤트 추적(ETW) 시스템이 기록한 시스템 이벤트를 바이너리 형식으로 저장합니다.
파일에는 System Trace, Trace, Event 세 가지 유형의 레코드가 포함될 수 있습니다. System Trace 레코드는 MOF(Managed Object Format) 스키마를 사용하는 커널 이벤트이며, Trace 레코드는 MOF 기반의 사용자 모드 이벤트, Event 레코드는 ETW(Event Tracing for Windows) 매니페스트 기반의 이벤트입니다.
HEADER 그룹의 첫 번째 System Trace 레코드에서 기준 타임스탬프를 추출하여 이후 레코드의 타임스탬프를 계산합니다. ETW 이벤트는 내장된 ETW 스키마로 필드를 파싱하여 추가 출력 필드를 생성할 수 있습니다.
사용 예
-
ETL 파일 조회
etl-file /opt/logpresso/evidence/Logfile.etl지정한 경로의 ETL 파일에서 모든 이벤트 추적 레코드를 조회합니다.
-
프로세스 이벤트만 필터링
etl-file /opt/logpresso/evidence/Logfile.etl | search event_trace_group == "PROCESS"프로세스 생성/종료 이벤트만 조회합니다.
-
ZIP 파일 내부의 ETL 파일 조회
etl-file zippath=/opt/logpresso/evidence/artifacts.zip Logfile.etlZIP 파일 내부의 ETL 파일에서 이벤트 추적 레코드를 조회합니다.
호환성
etl-file 명령어는 4.0.2305.0 버전부터 사용 가능합니다.