systemd 저널 (journald)
systemd-journald가 작성하는 이진 구조화 인덱스 로그 저장소입니다. 커널 링 버퍼, dmesg, 모든 systemd 유닛(서비스) 출력과 항목별 UID·GID·PID·실행 명령·SELinux 컨텍스트가 인증된 메타데이터로 함께 저장됩니다.
저장 위치
기본 파일시스템 경로 및 레지스트리 위치입니다. 라이브 대응 도구나 디스크 이미지 분석 도구로 수집합니다.
- $/var/log/journal/
- $/run/log/journal/
- $/var/log/journal/<machine-id>/system.journal
- $/var/log/journal/<machine-id>/user-*.journal
포렌식 의의
이 아티팩트가 결정적 증거로 작용하는 주요 시나리오입니다.
- Recovering high-fidelity execution timeline on modern Linux hosts
- Attributing a process to a real user via authenticated _AUDIT_LOGINUID
- Correlating service crashes with privilege escalation attempts
- Detecting log truncation — journal sealing keys can prove gaps
MITRE ATT&CK 매핑
이 아티팩트가 탐지·입증에 기여하는 기법들. 공식 MITRE 페이지로 이동합니다.
파싱 도구
unJaena AI 및 기타 DFIR 도구가 이 아티팩트에서 증거를 추출하는 데 사용됩니다.
관련 아티팩트
Linux Syslog (시스템 로그)
rsyslog 또는 syslog-ng가 작성하는 텍스트 시스템 이벤트 로그로, 커널 메시지·데몬 출력·cron 실행·인증 이벤트(구형 배포판)를 기록합니다. journald-only 환경이 아닌 Debian/Ubuntu·RHEL/CentOS에서 표준 형식입니다.
Linux 인증 로그 (auth.log)
PAM 기반 서비스가 남기는 인증·권한 이벤트 로그로, sshd 로그인·sudo·su 시도·화면 잠금 해제·polkit 결정이 기록됩니다. Linux 침해 사고 분석의 첫 번째 확인 대상입니다.
Bash 셸 히스토리
사용자가 Bash에서 실행한 모든 대화형 명령이 ~/.bash_history에 기록됩니다. HISTTIMEFORMAT·PROMPT_COMMAND 설정에 따라 실시간 저장 및 시각 정보까지 보존됩니다.
RecentDocs (최근 문서)
Explorer가 확장자별 최근 열어본 파일을 HKCU에 저장합니다. 이미 제거된 USB/네트워크 드라이브의 파일도 포함됩니다.
참고 자료
수작업으로 아티팩트를 뜯어보는 시대는 끝났습니다
unJaena AI는 디스크 이미지, 라이브 대응 산출물, 모바일 백업을 수집 후 이 페이지의 아티팩트와 200종 이상을 자동 상관 분석하여 수사관 수준의 타임라인을 생성합니다.
unJaena AI 체험 →