ntfs-logfile

NTFS 트랜잭션 로그 파일에서 파일 이름, 생성/수정/접근일시, Redo/Undo 작업 유형을 조회합니다. 이 명령으로 파일 생성, 삭제, 이름 변경 등의 내역을 확인할 수 있습니다.

문법

ntfs-logfile [zipcharset=CHARSET] [zippath=ZIPFILE_PATH] FILE_PATH
필수 매개변수
FILE_PATH
NTFS 트랜잭션 로그 파일의 경로. 파일 경로에 와일드카드(*)를 사용하면(예: D:\data\NTFS\*) 패턴과 일치하는 모든 파일을 한 번에 조회할 수 있습니다. zippath 옵션과 함께 사용하는 경우, ZIP 파일에 포함된 NTFS 트랜잭션 로그 파일의 경로를 입력하십시오.
선택 매개변수
zipcharset=CHARSET
ZIP 엔트리 인코딩 형식 (기본값: utf-8). 다음 문서에 등록된 Preferred MIME Name이나 Aliases를 사용합니다: https://www.iana.org/assignments/character-sets/character-sets.xhtml
zippath=ZIPFILE_PATH
ZIP 파일의 경로

설명

출력되는 필드 내용은 다음 표를 참조하십시오.

출력 필드
필드타입설명
access_at날짜접근일시
client_data_length정수레코드 크기
created_at날짜생성일시
file_name문자열파일 이름
flags정수플래그
lsn정수로그파일 시퀀스 넘버
mft_head문자열mft 헤더
mft_link_count정수해당 파일을 참조하는 엔트리 갯수
mft_lsn정수mft 로그파일 시퀀스 넘버
modified_at날짜수정일시
page정수페이지 번호
prev_lsn정수이전 로그파일 시퀀스 넘버
record_type정수레코드 타입 (2=체크포인트 레코드, 1=그외 레코드)
redo_len정수redo 데이터 크기
redo_offset정수redo 데이터 시작
redo_op문자열redo 작업
undo_len정수undo 데이터 크기
undo_offset정수undo 데이터 시작
undo_op문자열undo 작업
Redo_op, Undo_op 작업 코드

redo_op와 undo_op 필드에 출력되는 작업 코드는 다음 표를 참조하십시오.

redo_op/undo_op16진수 값
noop0x00
compensation_log_record0x1
initialize_file_record_segment0x2
deallocate_file_record_segment0x3
write_end_of_file_record_segment0x4
create_attribute0x5
delete_attribute0x6
update_resident_value0x7
update_non_resident_value0x8
update_mapping_pairs0x9
delete_dirty_clusters0xa
set_new_attribute_size0xb
add_index_entry_root0xc
delete_index_entry_root0xd
add_index_entry_allocation0xe
delete_index_entry_allocation0xf
set_index_entry_ven_allocation0x12
update_file_name_root0x13
update_file_name_allocation0x14
set_bits_in_non_resident_bitmap0x15
clear_bits_in_non_resident_bitmap0x16
prepare_transaction0x19
commit_transaction0x1a
forget_transaction0x1b
open_non_resident_attribute0x1c
open_attribute_table_dump0x1d
dirty_page_table_dump0x1f
transaction_table_dump0x20
update_record_data_root0x21

사용 예

  1. 파일 경로를 입력하여 조회

    ntfs-logfile D:\data\NTFS\test_LogFile
    
  2. zippath으로 지정한 ZIP 파일 안에 있는 NTFS 트랜잭션 로그 파일을 조회

    ntfs-logfile zippath=D:\data\NTFS.zip NTFS\test_LogFile
    
  3. initialize_file_record_segment이거나, delete를 포함하는 redo_op 로그 조회

    ntfs-logfile D:\data\NTFS\test_LogFile | sort lsn
    | search redo_op == "initialize_file_record_segment" or redo_op == "*delete*"