Linux Auth Log
Authentication and authorization events emitted by PAM-aware services — sshd logins, sudo invocations, su attempts, screen unlocks, and polkit decisions. The first place to look when scoping a Linux compromise.
保存場所
標準的なファイルシステムパスとレジストリ上の場所です。
- $/var/log/auth.log
- $/var/log/secure
- $/var/log/auth.log.1
- $/var/log/auth.log.*.gz
フォレンジック上の重要性
このアーティファクトが決定的な証拠になりやすい代表的な調査シナリオです。
- SSH brute-force and password spray detection
- Mapping every sudo command to a real user and TTY
- Identifying lateral movement via accepted public-key authentications
- Detecting privilege abuse — sudo to root from non-admin accounts
MITRE ATT&CKマッピング
このアーティファクトが検知や裏付けに役立つ可能性のある技術です。
解析に使えるツール
このアーティファクトの解析でよく使われるunJaena AIおよびDFIRツールです。
関連アーティファクト
systemd Journal (journald)
Binary, structured, indexed log store written by systemd-journald. Contains kernel ring buffer, dmesg, all unit (service) output, and authenticated metadata such as UID, GID, PID, command line, and SELinux context for every entry.
Linux Syslog
Plain-text system event log written by rsyslog or syslog-ng, recording kernel messages, daemon output, cron jobs, and (on older distros) authentication events. Standard format on Debian/Ubuntu and RHEL/CentOS systems without journald-only logging.
Bash Shell History
Per-user record of every interactive shell command executed by Bash, written to ~/.bash_history on logout (or in real time when HISTTIMEFORMAT and PROMPT_COMMAND are configured).
RecentDocs
Explorer tracks recently opened files per extension in HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs, including files on removed storage.
参考資料
アーティファクト解析を手作業で終わらせない
unJaena AIはディスクイメージ、ライブレスポンス出力、モバイルバックアップを取り込み、このページのアーティファクトと200件以上の追加項目を自動で関連付け、調査に使えるタイムラインへ整理します。
unJaena AIを試す →