LOG FILE FORENSIK
Log File sebagai Sumber Informasi
Keberhasilan
proses forensik sangat ditentukan oleh kualitas dan kuantitas informasi
yang terkumpul. Log file dapat merupakan sumber informasi yang penting
bagi proses forensik. Log file mengandung informasi tentang berbagai
sumber daya sistem, proses-proses dan aktivitas pengguna. Protocol
analyzer, sniffer, server SMTP, DHCP, FTP dan WWW, router, firewall dan
hampir semua aktivitas sistem atau user dapat dikumpulkan dalam log
file. Tetapi jika administrator sistem tidak dapat mencatat, maka fakta
yang diperlukan untuk menghubungkan pelaku dengan insiden tidak ada.
Sayangnya penyerang dan penjahat yang pintar mengetahui hal ini dan
tujuan pertamanya adalah merusak atau mengubah log file untuk
menyembunyikan aktivitas mereka.
Hal
kedua yang penting tetapi sering dilupakan adalah sistem clock.
Pencatatan suatu file berhubungan dengan time stamp dan date stamp yang
memungkinkan analis forensik untuk menentukan urutan kejadian. Tetapi
jika sistem clock tidak dikoreksi/dikalibrasi secara berkala dapat
dimatikan dari mana saja dari beberapa detik sampai beberapa jam. Hal
ini menyebabkan masalah karena korelasi antara log file dari computer
yang berbeda yang mempunyai sistem clock yang berbeda akan menyulitkan
bahkan tidak mungkin mengkorelasikan kejadian. Solusi yang sederhana
untuk mensinkronisasi clock adalah seluruh server dan sistem berjalan
pada suatu daemon seperti UNIX ntpd daemon, yang mensinkronisasi waktu
dan tanggal sistem secara berkala dengan suatu atomic clock yang
disponsori pemerintah.
Interpretasi Trafik Jaringan
Untuk
dapat mengidentifikasi trafik jaringan yang tidak normal dan
mencurigakan, harus dapat mengenali dengan baik pola trafik jaringan
yang normal. Jika pola traffic tidak normal indikasinya biasanya alamat
IP sumber terlihat tidak lazim (palsu) karena berupa satu set alamat IP
cadangan yang biasanya digunakan di dalam jaringan sebagai alamat privat
(misalnya dengan NAT) dan tidak pernah muncul di internet. Juga
time-stamp terlalu berdekatan, dan port sumber dan nomor urut yang naik
secara seragam merupakan petunjuk bahwa hal ini merupakan paket yang
tidak normal. Paket ini menjadi SYNflood, suatu jenis DoS (denial of
service), suatu serangan terhadap server ini menggunakan port 139
(NETbios).
Pembuatan Time Lining
MAC
(Modified Access Creation) time merupakan tool yang sangat berguna
untuk menentukan perubahan file, yang dapat digunakan untuk membuat time
lining dari kejadian-kejadian. M-times
berisi informasi tentang kapan file dimodifikasi terakhir kali, A-times
mengandung informasi waktu akses terakhir (membaca atau mengeksekusi)
dan C-times berisi waktu terakhir status file diubah. Keberhasilan
proses forensik sangat ditentukan oleh kualitas dan kuantitas informasi
yang terkumpul. Log file dapat merupakan sumber informasi yang penting
bagi proses forensik. Log file mengandung informasi tentang berbagai
sumber daya sistem, proses-proses dan aktivitas pengguna. Protocol
analyzer, sniffer, server SMTP, DHCP, FTP dan WWW, router, firewall dan
hampir semua aktivitas sistem atau user dapat dikumpulkan dalam log
file. Tetapi jika administrator sistem tidak dapat mencatat, maka fakta
yang diperlukan untuk menghubungkan pelaku dengan insiden tidak ada.
Sayangnya penyerang dan penjahat yang pintar mengetahui hal ini dan
tujuan pertamanya adalah merusak atau mengubah log file untuk
menyembunyikan aktivitas mereka.
.
Tadi disinggung masalah log-log dalam tahapan analisa dan karakterisitk dalam dunia forensic ini, apa saja yang harus kita perhatikan dalam menanalisis suatu log system ? Ada beberapa file log yang harus menjadi perhatian kita sebagai ahli forensics dan detective
digital, diantaranya :
digital, diantaranya :
· E-mail
· Temp File
· Recycle bin
· Informasi file fragmentasi disk
· Recent link files
· Spool printed files
· Internet history (temp)
· Registry
· Space yang tidak digunakan pada disk
· Sector pada disk
Digital Forensic yang bisa dilakukan oleh File Log, diantaranya :
· TroubleShotting
Anda bisa melakukan pelacakan kesalahan tentang apa yang sebelumnya terjadi pada sistem Anda. Catatan-catatan kecil di dalam sistem Anda ini sangatlah berarti karena akan meberikan petunjuk untuk dapat memecahkan masalah yang terjadi.
· Security Audit
Anda bisa melakukan pemeriksaan tentang apa saja yang telah terjadi terhadap sistem, gangguan-gangguan user dan gangguan-gangguan terhadap jaringan Anda.
· Services Audit
Jika anda
banyak mengaktifkan services mungkin SAMBA, SQUID, HTTPD – APACHE.
Kerusakan, gangguan sistem tersebut biasanya akan dicatat di dalam file
Log aplikasi masing2 jadi Anda tetap bisa mempelajari apa yang terjadi
dengan services2 yang telah Anda gunakan.
Mari kita menilik log file yang adan pada sistem operasi linux, sbb :
· /var/log/message
File log ini mencata hampir semua kejadian sistem mulai dari proses booting sampai services yang diaktifkan, karena mencatat hampir keseluruhan kondisi sistem makan file log ini akan berukuran besar. Ada beberapa distro yang telah menerapkan fungsi log rotator jadi log yang isinya sama tidak akan ditulis ulang alias memanfaatkan log yang sudah ada.
File log ini mencata hampir semua kejadian sistem mulai dari proses booting sampai services yang diaktifkan, karena mencatat hampir keseluruhan kondisi sistem makan file log ini akan berukuran besar. Ada beberapa distro yang telah menerapkan fungsi log rotator jadi log yang isinya sama tidak akan ditulis ulang alias memanfaatkan log yang sudah ada.
· /var/log/apache2/* atau /var/log/httpd/
Jika anda mengaktifkan Apache, maka Apache HTTPD sangat senang sekali mencatat kegiatan-kegiatan koneksi layanannya. Kegiatan sukses dan kegiatan kegagalan permintaan packet web .
Software Log File :
Event Log Explorer
adalah software gratis untuk melihat, melacak dan menganalisa bahkan
merekam log dari aplikasi keamanan, system, dan aplikasi lainnya dari
Sistem Operasi Microsoft Windows NT/ 2000/ XP/ 2003.
Rutinitas
analisis Event Log dari Windows Event Log adalah tugas yang penting
setiap system administrator. Namun masalahnya, Event Viewer standar
memiliki fasilitas terbatas, dan tidak memungkinkan Anda untuk melakukan
analisis event log secara efektif. Event Log Explorer adalah utilitas
sederhana yang bias anda pakai untuk membantu Anda memantau, melihat dan
menganalisis catatan Windows Event Log. Software ini bisa dibilang
berfungsi untuk memperluas fungsionalitas Event Viewer standard an
membawa benyak fitur baru.
Hal
pertama yang perlu anda lakukan setelah menginstal program ini adalah
memperluas tree view yang saling berhubungan yang sesuai untuk komputer
Anda dan kemudian double klik pada item yang Anda inginkan untk melihat
log item tersebut. Anda bisa melihat beberapa logs sekaligus.
Beberapa fitur yang baru dari Event Log Explorer:
· Versi terbaru dari Event Log Explorer ini telah menambahkan tab Task Scheduller Taskbar di dalam Windows 7/2008 R2.
· Meningkatkan kemampuan DEP (Data Execution Protection)
·
· Memperbaiki fungsi eskpor ke XLSX
· Mengoptimalkan konsumsi memory
· Mengatasi masalah dengan margin yang tidak benar dalam dokumen yang dicetak
· Mengatasi kebocoran RAM
Kelebihan:
Event
Log Explorer ini sangat cepat, nyaman dilihat, dengan tools yang mudah
digunakan dan dengan fitur-fitur yang mengagumkan yang bisa membuktikan
bahwa program ini sangat berguna bagi banyak orang.