名前
mactime - ファイルアクティビティのタイムラインをASCIIで作成する
書式
mactime [-b body ] [-g group file ] [-p password file ] [-i (day|hour) index file ] [-dhmVy] [-z TIME_ZONE ] [DATE_RANGE]
説明
mactimeは'-b'または標準入力で指定されたbodyファイルに基づいて、ファイルアクティビティのタイムラインをASCII文字で作成する。タイムラインは標準出力STDOUTへ書き出される。bodyファイルは'ils -m'、'fls -m'、mac-robberなどで作成された時系列フォーマットでなければならない。
引数
- -b body
- bodyファイルの場所を指定する。このファイルは'fls -m'や'ils -m'などによって生成されていなければならない。'mac-robber'や'grave-robber'もこのファイルの生成に使うことができる。
- -g group file
- groupファイルの場所を指定する。このオプションが指定されれば、mactimeはGIDのかわりにグループ名を表示する。
- -p password file
- passwdファイルの場所を指定する。このオプションが指定されれば、mactimeはUIDのかわりにユーザ名を表示する。
- -i day|hour index file
- 書き出すindexファイルの場所を指定する。最初の引数は時間もしくは日のどちらでサマリを出すかという粒度を指定する。'-d'フラグを指定すると、サマリはスプレッドシートにインポートできるようにコンマ(,)で分けられる。
- -d
- コンマ区切りのフォーマットでタイムラインとindexファイルを表示する。これはプレゼンテーション資料やグラフ作成のためにスプレッドシートにデータをインポートするために使われる。
- -h
- 時間範囲、入力ソース、passwdファイル、groupファイルを含むセッションについてヘッダ情報を表示する。
- -V
- バージョン情報を標準出力STDOUTに表示する。
- -m
- 月情報を名前のかわりに数字で扱う。(-yオプションとは併用できない)
- -y
- 日時をISO8601形式で表示する。
- -z TIME_ZONE
- データが収集されたタイムゾーンを指定する。この引数の名前はシステム依存である(例えばEST5EDTやGMT+1などがある)。-uオプションとは併用できない。
- DATE_RANGE
- タイムラインを作成する日時範囲を指定する。標準のフォーマットはyyyy-mm-ddで、開始日時となり終了日時はない。終了日時を使う場合はyyyy-mm-dd..yyyy-mm-ddのフォーマットを用いる。
ライセンス
TCTのmactime変更版とmac-daddyはSleuth Kitのライセンスディレクトリにあるcpl1.0.txtファイルに記述されているCommon Public Licenseに従い配布される。
履歴
mactimeの最初のバージョンはThe Coroner's Toolkit (TCT) (Dan Farmer)で登場し、後にmac-daddy (Rob Lee)となった。
著者
Brian Carrier <carrier at sleuthkit dot org>
ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。