T1027.004 Compile After Delivery
T1027.004
必要なテーブル
戻りフィールド
| フィールド | 説明 |
| timestamp | Unix タイムスタンプで生成された文字列で表した日付のタイムスタンプ |
| fn | コンパイルを行うプログラム |
| path | プロセスイベントのパス |
| arguments | コンパイルに使用される引数 |
クエリ
WITH progs as (
SELECT
unix_nano_timestamp,
reverse(split_part(reverse(process_events.path), '/', 1)) as fn,
path,
arguments
FROM process_events
WHERE event_type=0
)
SELECT
FROM_UNIXTIME(unix_nano_timestamp/1e9),
fn,
path,
arguments
FROM progs
WHERE (
fn = 'go' AND (
CONTAINS(arguments, 'build') OR CONTAINS(arguments, 'run')
)
) OR fn LIKE 'javac%'
OR fn LIKE 'gcc%'
OR fn LIKE 'clang%'
OR fn LIKE 'g++%'
OR fn LIKE 'lcc%'
OR fn LIKE 'icc%'
OR fn LIKE 'bcc%'
OR fn LIKE 'cc%'