terkumpul. Log file dapat merupakan sumber informasi yang penting bagi proses forensik. Log
file mengandung informasi tentang berbagai sumber daya sistem, proses-proses dan aktivitas
pengguna. Protocol analyzer, sniffer, server SMTP, DHCP, FTP dan WWW, router, firewall dan
hampir semua aktivitas sistem atau user dapat dikumpulkan dalam log file. Tetapi jika
administrator sistem tidak dapat mencatat, maka fakta yang diperlukan untuk menghubungkan
pelaku dengan insiden tidak ada. Sayangnya penyerang dan penjahat yang pintar mengetahui hal
ini dan tujuan pertamanya adalah merusak atau mengubah log file untuk menyembunyikan
aktivitas mereka.
Hal kedua yang penting tetapi sering dilupakan adalah sistem clock. Pencatatan suatu file
berhubungan dengan time stamp dan date stamp yang memungkinkan analis forensik untuk
menentukan urutan kejadian. Tetapi jika sistem clock tidak dikoreksi/dikalibrasi secara berkala
dapat dimatikan dari mana saja dari beberapa detik sampai beberapa jam. Hal ini menyebabkan
masalah karena korelasi antara log file dari computer yang berbeda yang mempunyai sistem
clock yang berbeda akan menyulitkan bahkan tidak mungkin mengkorelasikan kejadian. Solusi
yang sederhana untuk mensinkronisasi clock adalah seluruh server dan sistem berjalan pada
suatu daemon seperti UNIX ntpd daemon, yang mensinkronisasi waktu dan tanggal sistem secara
berkala dengan suatu atomic clock yang disponsori pemerintah.
Tadi disinggung masalah log-log dalam tahapan analisa dan karakterisitk dalam dunia forensic
ini, apa saja yang harus kita perhatikan dalam menanalisis suatu log system ?
Ada beberapa file log yang harus menjadi perhatian kita sebagai ahli forensics dan detective
digital, diantaranya :
E-mail
Temp File
Recycle bin
Informasi file fragmentasi disk
Recent link files
Spool printed files
Internet history (temp)
Registry
Space yang tidak digunakan pada disk
Sector pada disk
Digital Forensic seperti apa sih yang bisa dilakukan oleh File Log, diantaranya :
(*) TroubleShotting
Ya.. Anda bisa melakukan pelacakan kesalahan tentang apa yang sebelumnya terjadi pada sistem
Anda. Catatan2 kecil di dalam sistem Anda ini sangatlah berarti karena akan meberikan petunjuk
untuk dapat memecahkan masalah yang terjadi.
(*) Security Audit
Anda bisa melakukan pemeriksaan tentang apa saja yang telah terjadi terhadap sistem,
gangguan2 user dan gangguan2 terhadap jaringan Anda
(*) Services Audit
Anda banyak mengaktifkan services..? mungkin SAMBA, SQUID, HTTPD APACHE. Kerusakan,
gangguan sistem tersebut biasanya akan dicatat di dalam file Log aplikasi masing2 jadi Anda
tetap bisa mempelajari apa yang terjadi dengan services2 yang telah Anda gunakan.
Mari kita menilik log file yang adan pada sistem operasi linux, sbb :
(+) /var/log/message
File log ini mencata hampir semua kejadian sistem mulai dari proses booting sampai services
yang diaktifkan, karena mencatat hampir keseluruhan kondisi sistem makan file log ini akan
berukuran besar. Ada beberapa distro yang telah menerapkan fungsi log rotator jadi log yang
isinya sama tidak akan ditulis ulang alias memanfaatkan log yang sudah ada.
(+) /var/log/samba/log.*
Linux Anda selingkuh dengan Windows..?? hhhmmm selingkuh ya kalo selingkuh pasti pake
SAMBA ( hhiii, untung selingkuhnya ga pakai L kalau pakai L pasti pedas. ). Sambanya
memiliki 2 (dua) buah file log, yaitu : log.smbd dan log.nmbd.
Apakah cuma itu ?? tidak, jika Anda menggunakan winbind pasti ada tambahan 1 (satu) file log
lagi, yaitu : log.winbindd
(+) /var/log/apache2/* atau /var/log/httpd/
Anda mengaktifkan Apache..?? Apache HTTPD sangat senang sekali mencatat kegiatan2 koneksi
layanannya. Kegiatan sukses dan kegiatan kegagalan permintaan packet web.
Saya sangat terkesan sekali dengan layan log di web server ini, betapa tidak?? level log bisa
diatur dengan sangat mudah.
(+) /var/log/squid/*.log
Berbagi internet dengan squid..?? hhhmmmm enaknya log yang dimiliki squid akan mencatat
segala koneksi sebagai proxy, detail akses per komputer dan tujuan yang diakses.
Memang masih banyak file *.log lainnya yang bisa dijadikan digital forensic, itu semua
tergantung dari serices yang dipergunakan oleh sistem.