Mactime


Предыдущая | Следующая

mactime создает временную шкалу активности файлов в формате ASCII на основе результатов работы инструмента fls. Его можно использовать для обнаружения аномального поведения и восстановления событий. Команда fls должна использовать флаг -m для генерации вывода с отметками времени.

mactime читает основной файл (используя аргумент '-b'), который содержит строку для каждого файла или события. Затем mactime сортирует данные на основе временных данных и распечатывает результат. При желании он может использовать дату начала или диапазон дат для ограничения печатаемых данных.

Следующее читает body.txt и выводит все действия, начиная с марта 2002 года.

# mactime -b body.txt 2002-03-01 > tl.03.01.2002.txt

Некоторые аргументы в пользу mactime помогают сделать вывод более читабельным. В системе Unix идентификаторы пользователя и группы могут быть сопоставлены с реальными именами с помощью флагов «-p» и «-q». Флаг '-z' может использоваться для указания часового пояса, если он отличается от местного часового пояса.

# mactime -b body.txt -z EST5EDT 2002-03-01 > tl.03.01.2002.txt

The mactime output is text that contains the file activity.

Если вы собираетесь включить полученную временную шкалу в документ, то, возможно, лучше указать аргумент «-d» для вывода в формате с разделителями-запятыми. Полученную временную шкалу затем можно импортировать в электронную таблицу и включить в виде таблицы.

Параметр «-i» для «mactime» создает файл сводки индекса, в котором указывается, сколько совпадений было найдено за день или час. Использование «-d» с «-i» позволяет легко импортировать данные в электронную таблицу, которая может быть построена в виде графиков для выявления подозрительного поведения.

# mactime -b body.txt -d -i hour data/tl-hour-sum.txt > timeline.txt