firefox-visits
Firefox 브라우저의 places.sqlite 데이터베이스 파일을 파싱하여 웹 사이트 방문 이력을 조회합니다. 장소(places) 테이블에서 방문 횟수가 1회 이상인 항목의 URL, 제목, 방문 횟수, 직접 입력 횟수, 숨김 여부를 추출합니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 클러스터 관리자 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 수집 노드에서 실행 (mapper) |
문법
옵션
zippath=STRplaces.sqlite파일이 포함된 ZIP 파일의 경로. ZIP 파일 내부의 SQLite 파일을 직접 조회할 때 사용합니다.zipcharset=STR- ZIP 파일 엔트리의 문자 집합 (기본값:
utf-8)
대상
FILE_PATH- 조회할 Firefox
places.sqlite파일의 경로. 와일드카드(*)를 사용하여 여러 파일을 지정할 수 있습니다.
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
_time | 날짜 | 마지막 방문 시각 |
title | 문자열 | 웹 페이지 제목 |
visit_count | 32비트 정수 | 방문 횟수 |
typed_count | 64비트 정수 | 주소창에 직접 URL을 입력하여 방문한 횟수 |
hidden | 불리언 | 숨김 여부. 리다이렉트 등으로 방문한 경우 true를 할당합니다. |
url | 문자열 | 방문한 URL |
오류 코드
파싱 오류
해당 사항 없음
런타임 오류
| 오류 코드 | 메시지 | 설명 | 후처리 동작 |
|---|---|---|---|
| - | cannot load firefox places database: PATH | Firefox places 데이터베이스를 읽을 수 없는 경우 | 쿼리 실행을 중단함 |
설명
firefox-visits 명령어는 Firefox 브라우저가 방문 이력을 저장하는 places.sqlite 파일의 moz_places 테이블을 파싱합니다. 방문 횟수(visit_count)가 0인 항목은 last_visit_date가 NULL이므로 조회 대상에서 제외합니다.
hidden 필드는 moz_places 테이블의 hidden 컬럼 값이 1이면 true, 그 외에는 false를 할당합니다. 타임스탬프는 마이크로초 단위의 UNIX 타임스탬프를 밀리초 단위로 변환하여 날짜로 할당합니다.
이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.
사용 예
각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.
-
Firefox 방문 이력 조회
firefox-visits /opt/logpresso/evidence/places.sqlite지정한 경로의
places.sqlite파일에서 모든 방문 이력을 조회합니다. -
방문 횟수 기준 상위 10건 조회
firefox-visits /opt/logpresso/evidence/places.sqlite | sort -visit_count | limit 10방문 횟수가 많은 순서로 상위 10건의 방문 이력을 조회합니다.
-
ZIP 파일 내부의 places.sqlite 파일 조회
firefox-visits zippath=/opt/logpresso/evidence/browser.zip places.sqliteZIP 파일 내부의
places.sqlite파일에서 방문 이력을 조회합니다.
호환성
firefox-visits 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.