Journaux Linux
journald et syslog
journalctl, syslog, authentification, auditd et triage d’un serveur Linux compromis.
journalctl
# Boot courant
journalctl -b
# Service SSH depuis hier
journalctl -u ssh --since yesterday
# Priorité warning et plus grave
journalctl -p warning..emerg
# Suivi temps réel
journalctl -f
# Sortie JSON
journalctl -u ssh --since '-1 hour' -o json
Fichiers classiques
Selon la distribution :
/var/log/auth.logou/var/log/secure;/var/log/syslogou/var/log/messages;/var/log/kern.log;- logs applicatifs Nginx/Apache ;
- logs de paquet et de mises à jour.
Persistance du journal
Vérifie /etc/systemd/journald.conf et l'existence de /var/log/journal. Un journal volatil disparaît après redémarrage.
Export de cas
journalctl --since '2026-07-03 00:00:00' --until '2026-07-04 00:00:00' -o short-iso-precise > CASE-2026-001_journal.txt
sha256sum CASE-2026-001_journal.txt
Conseil opérationnel
Utilise `-o short-iso-precise` ou JSON pour conserver un horodatage précis et faciliter l'import dans un SIEM.