Linux Syslog (시스템 로그)
rsyslog 또는 syslog-ng가 작성하는 텍스트 시스템 이벤트 로그로, 커널 메시지·데몬 출력·cron 실행·인증 이벤트(구형 배포판)를 기록합니다. journald-only 환경이 아닌 Debian/Ubuntu·RHEL/CentOS에서 표준 형식입니다.
저장 위치
기본 파일시스템 경로 및 레지스트리 위치입니다. 라이브 대응 도구나 디스크 이미지 분석 도구로 수집합니다.
- $/var/log/syslog
- $/var/log/messages
- $/var/log/syslog.1
- $/var/log/syslog.*.gz
포렌식 의의
이 아티팩트가 결정적 증거로 작용하는 주요 시나리오입니다.
- Detecting kernel-level anomalies (OOM, segfaults, USB attach events)
- Tracing daemon failures around the time of a known incident
- Correlating cron job execution with file modifications
- Spotting log gaps that suggest tampering or anti-forensic activity
MITRE ATT&CK 매핑
이 아티팩트가 탐지·입증에 기여하는 기법들. 공식 MITRE 페이지로 이동합니다.
파싱 도구
unJaena AI 및 기타 DFIR 도구가 이 아티팩트에서 증거를 추출하는 데 사용됩니다.
관련 아티팩트
systemd 저널 (journald)
systemd-journald가 작성하는 이진 구조화 인덱스 로그 저장소입니다. 커널 링 버퍼, dmesg, 모든 systemd 유닛(서비스) 출력과 항목별 UID·GID·PID·실행 명령·SELinux 컨텍스트가 인증된 메타데이터로 함께 저장됩니다.
Linux 인증 로그 (auth.log)
PAM 기반 서비스가 남기는 인증·권한 이벤트 로그로, sshd 로그인·sudo·su 시도·화면 잠금 해제·polkit 결정이 기록됩니다. Linux 침해 사고 분석의 첫 번째 확인 대상입니다.
Linux Cron 스케줄러 흔적
시스템 및 사용자별 crontab, drop-in 디렉토리(/etc/cron.*)와 cron·anacron이 남기는 실행 로그를 모두 포함합니다. Linux 서버의 지속성(Persistence) 탐지에 핵심적인 아티팩트입니다.
RecentDocs (최근 문서)
Explorer가 확장자별 최근 열어본 파일을 HKCU에 저장합니다. 이미 제거된 USB/네트워크 드라이브의 파일도 포함됩니다.
참고 자료
수작업으로 아티팩트를 뜯어보는 시대는 끝났습니다
unJaena AI는 디스크 이미지, 라이브 대응 산출물, 모바일 백업을 수집 후 이 페이지의 아티팩트와 200종 이상을 자동 상관 분석하여 수사관 수준의 타임라인을 생성합니다.
unJaena AI 체험 →