T1136 Create Account-Program
必要なテーブル
- process_events
戻りフィールド
| フィールド | 説明 |
|---|---|
| timestamp | 文字列で表した日付タイムスタンプ |
| path | プロセスイベントのパス |
| arguments | プロセスイベントの引数 |
クエリ
SELECT
FROM_UNIXTIME(unix_nano_timestamp/1e9),
path,
arguments
FROM process_events
WHERE
path LIKE '%useradd'
OR path LIKE '%newusers'
ORDER BY unix_nano_timestamp