recent-file-cache
윈도우 7의 RecentFileCache.bcf 파일을 파싱하여 최근에 실행된 프로그램의 파일 경로 목록을 조회합니다. 이 파일은 애플리케이션 호환성 캐시에 기록된 실행 이력을 포함합니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 클러스터 관리자 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 수집 노드에서 실행 (mapper) |
문법
옵션
zippath=STR- BCF 파일이 포함된 ZIP 파일의 경로. ZIP 파일 내부의 BCF 파일을 직접 조회할 때 사용합니다.
zipcharset=STR- ZIP 파일 엔트리의 문자 집합 (기본값:
utf-8)
대상
FILE_PATH- 조회할 RecentFileCache.bcf 파일의 경로. 와일드카드(
*)를 사용하여 여러 파일을 지정할 수 있습니다. 이 파일은 윈도우 7의C:\Windows\AppCompat\Programs디렉터리에 위치합니다.
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
_file | 문자열 | BCF 파일 이름 |
file_path | 문자열 | 실행된 프로그램의 전체 파일 경로 |
오류 코드
파싱 오류
해당 사항 없음
런타임 오류
| 오류 코드 | 메시지 | 설명 | 후처리 동작 |
|---|---|---|---|
| - | cannot load RecentFileCache.bcf file | BCF 파일을 읽을 수 없는 경우 | 쿼리 실행을 중단함 |
| - | invalid RecentFileCache.bcf file. magic is {값} | BCF 파일의 매직 넘버가 올바르지 않은 경우 | 쿼리 실행을 중단함 |
설명
recent-file-cache 명령어는 지정한 RecentFileCache.bcf 파일을 바이너리 형식으로 파싱하여 각 엔트리의 실행 프로그램 파일 경로를 추출합니다. BCF 파일은 윈도우 7에서 애플리케이션 호환성 캐시(Application Compatibility Cache)가 기록하는 파일로, 시스템에서 실행된 프로그램의 경로를 저장합니다.
파일 시작 부분의 매직 넘버(0xFEFFEEFF)를 검증하여 올바른 BCF 파일인지 확인합니다. 매직 넘버가 일치하지 않으면 오류가 발생합니다.
ZIP 파일 내부의 BCF 파일을 조회하려면 zippath 옵션에 ZIP 파일 경로를 지정하고 대상에 ZIP 내부의 BCF 파일 경로를 지정합니다.
이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.
사용 예
각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.
-
RecentFileCache.bcf 파일 조회
recent-file-cache /opt/logpresso/evidence/RecentFileCache.bcf지정한 경로의 BCF 파일에서 모든 실행 프로그램 경로를 조회합니다.
-
ZIP 파일 내부의 BCF 파일 조회
recent-file-cache zippath=/opt/logpresso/evidence/artifacts.zip RecentFileCache.bcfZIP 파일 내부의
RecentFileCache.bcf파일에서 실행 프로그램 경로를 조회합니다. -
특정 경로 패턴 필터링
recent-file-cache /opt/logpresso/evidence/RecentFileCache.bcf | search file_path == "*\\AppData\\*"사용자 AppData 디렉터리에서 실행된 프로그램만 필터링합니다.
호환성
recent-file-cache 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.