ntfs-logfile

NTFS 트랜잭션 로그 파일에서 파일 이름, 생성/수정/접근일시, Redo/Undo 작업 유형을 조회합니다. 조회한 데이터로 파일 생성, 삭제, 이름 변경 등의 내역을 확인할 수 있습니다.

문법

ntfs-logfile [zippath=ZIPFILE_PATH] FILE_PATH
zippath
ZIP 파일의 절대 경로를 입력합니다.
FILE_PATH
데이터를 읽어들일 NTFS 로그 파일 경로를 입력합니다. zippath 옵션을 입력한 경우, zip 파일 내의 파일 경로를 입력합니다.

출력 필드

필드타입설명
access_at날짜접근일시
client_data_length정수레코드 크기
created_at날짜생성일시
file_name문자열파일 이름
flags정수플래그
lsn정수로그파일 시퀀스 넘버
mft_head문자열mft 헤더
mft_link_count정수해당 파일을 참조하는 엔트리 갯수
mft_lsn정수mft 로그파일 시퀀스 넘버
modified_at날짜수정일시
page정수페이지 번호
prev_lsn정수이전 로그파일 시퀀스 넘버
record_type정수레코드 타입 (2=체크포인트 레코드, 1=그외 레코드)
redo_len정수redo 데이터 크기
redo_offset정수redo 데이터 시작
redo_op문자열redo 작업
undo_len정수undo 데이터 크기
undo_offset정수undo 데이터 시작
undo_op문자열undo 작업

사용 예

  1. 파일 경로를 입력하여 조회

    ntfs-logfile D:\testdata\NTFS\test_LogFile
    
  2. zippath 옵션을 입력한 경우, 조회

    ntfs-logfile zippath=D:\testdata\NTFS.zip NTFS\test_LogFile
    
  3. redo 작업이 initialize_file_record_segment 작업이나 Delete 관련 작업인 로그 조회

    ntfs-logfile D:\testdata\NTFS\test_LogFile | sort lsn
    | search redo_op == "initialize_file_record_segment" or redo_op == "*delete*"