Blue Team Field NotesDFIR · SOC · Vulnerability Management
Journaux Linux

journald et syslog

journalctl, syslog, authentification, auditd et triage d’un serveur Linux compromis.

journalctl

# Boot courant
journalctl -b

# Service SSH depuis hier
journalctl -u ssh --since yesterday

# Priorité warning et plus grave
journalctl -p warning..emerg

# Suivi temps réel
journalctl -f

# Sortie JSON
journalctl -u ssh --since '-1 hour' -o json

Fichiers classiques

Selon la distribution :

Persistance du journal

Vérifie /etc/systemd/journald.conf et l'existence de /var/log/journal. Un journal volatil disparaît après redémarrage.

Export de cas

journalctl --since '2026-07-03 00:00:00' --until '2026-07-04 00:00:00'   -o short-iso-precise > CASE-2026-001_journal.txt
sha256sum CASE-2026-001_journal.txt
Conseil opérationnel

Utilise `-o short-iso-precise` ou JSON pour conserver un horodatage précis et faciliter l'import dans un SIEM.

Références officielles