systemd Journal (journald)
Binary, structured, indexed log store written by systemd-journald. Contains kernel ring buffer, dmesg, all unit (service) output, and authenticated metadata such as UID, GID, PID, command line, and SELinux context for every entry.
保存場所
標準的なファイルシステムパスとレジストリ上の場所です。
- $/var/log/journal/
- $/run/log/journal/
- $/var/log/journal/<machine-id>/system.journal
- $/var/log/journal/<machine-id>/user-*.journal
フォレンジック上の重要性
このアーティファクトが決定的な証拠になりやすい代表的な調査シナリオです。
- Recovering high-fidelity execution timeline on modern Linux hosts
- Attributing a process to a real user via authenticated _AUDIT_LOGINUID
- Correlating service crashes with privilege escalation attempts
- Detecting log truncation — journal sealing keys can prove gaps
MITRE ATT&CKマッピング
このアーティファクトが検知や裏付けに役立つ可能性のある技術です。
解析に使えるツール
このアーティファクトの解析でよく使われるunJaena AIおよびDFIRツールです。
関連アーティファクト
Linux Syslog
Plain-text system event log written by rsyslog or syslog-ng, recording kernel messages, daemon output, cron jobs, and (on older distros) authentication events. Standard format on Debian/Ubuntu and RHEL/CentOS systems without journald-only logging.
Linux Auth Log
Authentication and authorization events emitted by PAM-aware services — sshd logins, sudo invocations, su attempts, screen unlocks, and polkit decisions. The first place to look when scoping a Linux compromise.
Bash Shell History
Per-user record of every interactive shell command executed by Bash, written to ~/.bash_history on logout (or in real time when HISTTIMEFORMAT and PROMPT_COMMAND are configured).
RecentDocs
Explorer tracks recently opened files per extension in HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs, including files on removed storage.
参考資料
アーティファクト解析を手作業で終わらせない
unJaena AIはディスクイメージ、ライブレスポンス出力、モバイルバックアップを取り込み、このページのアーティファクトと200件以上の追加項目を自動で関連付け、調査に使えるタイムラインへ整理します。
unJaena AIを試す →