splunk를 활용하여 $MFT 파일의 STD과 Fn속성에 있는 타임스탬프 비교

 

analyzeMFT.py로 파싱된 $MFT 파일의 output를 splunk에 인덱싱하여, STD과 FN 속성에 있는 시간 값을 비교하는 Splunk Query ….

1.analyzeMFT.py를 사용하여 $MFT파일 파싱

– /usr/bin/python analyzeMFT.py -f /MFTdump -o mft_output  –bodyfull -a -l

sourcetype=”mft-csv” | rename “FN Info Modification date” AS fn_mtime_datetime, “Std Info Modification date” AS std_mtime_datetime | eval fn_mtime = strptime(fn_mtime_datetime, “%Y-%m-%d %H:%M:%S.%6N”) | eval std_mtime = strptime(std_mtime_datetime, “%Y-%m-%d %H:%M:%S.%6N”) | where std_mtime = fn_mtime | table std_mtime, std_mtime_datetime, fn_mtime, fn_mtime_datetime, “Filename _1”

 

Advertisements

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중

%d 블로거가 이것을 좋아합니다: