srum-network-connectivities

Windows SRUM(System Resource Usage Monitor) 데이터베이스 파일에서 네트워크 연결 시작 시각, 연결 유지 시간, 네트워크 어댑터 식별자 등 네트워크 연결 내역을 조회합니다.

명령어 속성

문법

옵션

zipcharset=STR

ZIP 엔트리 이름의 문자 인코딩 (기본값: utf-8)

zippath=STR

ZIP 파일 경로. 이 옵션을 지정하면 ZIP 파일 내부의 SRUDB.dat 파일을 대상으로 조회합니다.

대상

FILE_PATH

SRUDB.dat 파일 경로. 와일드카드(*)를 사용하여 여러 파일을 지정할 수 있습니다. zippath 옵션을 지정한 경우 ZIP 파일 내부의 경로를 입력합니다. 이 파일은 Windows에서 C:\Windows\System32\sru\SRUDB.dat 경로에 위치합니다.

출력 필드

오류 코드

파싱 오류

해당 사항 없음

런타임 오류

해당 사항 없음

설명

srum-network-connectivities 명령어는 Windows SRUM 데이터베이스의 {DD6636C4-8929-4683-974E-22C046A43763} 테이블에서 네트워크 연결 내역을 조회합니다. 이 테이블에는 네트워크 어댑터별 연결 시작 시각, 연결 유지 시간, L2 프로파일 정보 등이 기록되어 있습니다.

명령어는 먼저 SruDbIdMapTable을 읽어 앱 ID와 사용자 ID를 실제 이름과 SID로 매핑합니다. ESE 데이터베이스의 CamelCase 컬럼 이름은 자동으로 snake_case로 변환됩니다. connect_start_time 필드의 경우 Windows FILETIME 값을 날짜 타입으로 자동 변환합니다.

이 명령어를 통해 특정 시간대의 네트워크 연결 이력, 어댑터별 연결 빈도 등을 분석할 수 있습니다.

이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.

사용 예

각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.

1. SRUDB.dat 파일에서 네트워크 연결 내역 조회

   srum-network-connectivities C:\Windows\System32\sru\SRUDB.dat
   

   SRUM 데이터베이스의 모든 네트워크 연결 레코드를 조회합니다.

2. ZIP 파일 내부의 SRUDB.dat 파일 조회

   srum-network-connectivities zippath=D:\evidence\sru.zip SRUDB.dat
   

   ZIP 파일에 포함된 SRUDB.dat 파일에서 네트워크 연결 내역을 조회합니다.

3. 연결 유지 시간 기준 상위 10건 조회

   srum-network-connectivities C:\Windows\System32\sru\SRUDB.dat
   | sort limit=10 -connected_time
   

   연결 유지 시간이 긴 순서대로 상위 10건의 네트워크 연결 레코드를 조회합니다.

호환성

srum-network-connectivities 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.