ファイルの状態に関連するファイルとプロセス
特定のユーザーによって作成されたファイル、およびそのファイルを作成したプロセスを検索することができます。
必要なテーブル
- process_events
- file_events
戻りフィールド
| フィールド | 説明 |
|---|---|
| unix_nano_timestamp path source_path | 作成されたファイルのパスとソースのパス |
| file_events.process_uuid | 作成されたプロセス ID |
| process_events.username | それを作成したユーザー |
クエリ
SELECT unix_nano_timestamp,
path,
source_path,
file_events.process_uuid,
process_events.username
FROM file_events
LEFT JOIN
(SELECT username,
process_uuid
FROM process_events
GROUP BY process_uuid, username) AS process_events
ON process_events.process_uuid = file_events.process_uuid
WHERE file_events.event_type=1