Keberhasilan proses forensik sangat ditentukan oleh kualitas dan kuantitas informasi yang terkumpul. Log file dapat merupakan sumber informasi yang penting bagi proses forensik. Log file mengandung informasi tentang berbagai sumber daya sistem, proses-proses dan aktivitas pengguna. Protocol analyzer, sniffer, server SMTP, DHCP, FTP dan WWW, router, firewall dan hampir semua aktivitas sistem atau user dapat dikumpulkan dalam log file. Tetapi jika administrator sistem tidak dapat mencatat, maka fakta yang diperlukan untuk menghubungkan pelaku dengan insiden tidak ada. Sayangnya penyerang dan penjahat yang pintar mengetahui hal ini dan tujuan pertamanya adalah merusak atau mengubah log file untuk menyembunyikan aktivitas mereka.

Hal kedua yang penting tetapi sering dilupakan adalah sistem clock. Pencatatan suatu file berhubungan dengan time stamp dan date stamp yang memungkinkan analis forensik untuk menentukan urutan kejadian. Tetapi jika sistem clock tidak dikoreksi/dikalibrasi secara berkala dapat dimatikan dari mana saja dari beberapa detik sampai beberapa jam. Hal ini menyebabkan masalah karena korelasi antara log file dari computer yang berbeda yang mempunyai sistem clock yang berbeda akan menyulitkan bahkan tidak mungkin mengkorelasikan kejadian. Solusi yang sederhana untuk mensinkronisasi clock adalah seluruh server dan sistem berjalan pada suatu daemon seperti UNIX ntpd daemon, yang mensinkronisasi waktu dan tanggal sistem secara berkala dengan suatu atomic clock yang disponsori pemerintah.

Tadi disinggung masalah log-log dalam tahapan analisa dan karakterisitk dalam dunia forensic
ini, apa saja yang harus kita perhatikan dalam menanalisis suatu log system ?
Ada beberapa file log yang harus menjadi perhatian kita sebagai ahli forensics dan detective
digital, diantaranya :
· E-mail
· Temp File
· Recycle bin
· Informasi file fragmentasi disk
· Recent link files
· Spool printed files
· Internet history (temp)
· Registry
· Space yang tidak digunakan pada disk
· Sector pada disk

Digital Forensic seperti apa sih yang bisa dilakukan oleh File Log, diantaranya :
(*) TroubleShotting
Ya.. Anda bisa melakukan pelacakan kesalahan tentang apa yang sebelumnya terjadi pada sistem Anda. Catatan2 kecil di dalam sistem Anda ini sangatlah berarti karena akan meberikan petunjuk untuk dapat memecahkan masalah yang terjadi.

(*) Security Audit
Anda bisa melakukan pemeriksaan tentang apa saja yang telah terjadi terhadap sistem, gangguan2 user dan gangguan2 terhadap jaringan Anda

(*) Services Audit
Anda banyak mengaktifkan services..? mungkin SAMBA, SQUID, HTTPD – APACHE. Kerusakan, gangguan sistem tersebut biasanya akan dicatat di dalam file Log aplikasi masing2 jadi Anda tetap bisa mempelajari apa yang terjadi dengan services2 yang telah Anda gunakan.

Mari kita menilik log file yang adan pada sistem operasi linux, sbb :

(+) /var/log/message
File log ini mencata hampir semua kejadian sistem mulai dari proses booting sampai services yang diaktifkan, karena mencatat hampir keseluruhan kondisi sistem makan file log ini akan berukuran besar. Ada beberapa distro yang telah menerapkan fungsi log rotator jadi log yang isinya sama tidak akan ditulis ulang alias memanfaatkan log yang sudah ada.

(+) /var/log/samba/log.*
Linux Anda selingkuh dengan Windows..?? hhhmmm selingkuh ya… kalo selingkuh pasti pake SAMBA (– hhiii, untung selingkuhnya ga pakai ‘L’ kalau pakai ‘L’ pasti pedas…. ). Sambanya memiliki 2 (dua) buah file log, yaitu : log.smbd dan log.nmbd.
Apakah cuma itu… ?? tidak, jika Anda menggunakan winbind pasti ada tambahan 1 (satu) file log lagi, yaitu : log.winbindd

(+) /var/log/apache2/* atau /var/log/httpd/
Anda mengaktifkan Apache..?? Apache HTTPD sangat senang sekali mencatat kegiatan2 koneksi layanannya. Kegiatan sukses dan kegiatan kegagalan permintaan packet web.
Saya sangat terkesan sekali dengan layan log di web server ini, betapa tidak…?? level log bisa diatur dengan sangat mudah.

(+) /var/log/squid/*.log
Berbagi internet dengan squid..?? hhhmmmm enaknya… log yang dimiliki squid akan mencatat segala koneksi sebagai proxy, detail akses per komputer dan tujuan yang diakses.

Memang masih banyak file *.log lainnya yang bisa dijadikan digital forensic, itu semua tergantung dari serices yang dipergunakan oleh sistem.

untuk artikel-artikel lain yang berhubungan dengan FORENSICS bisa di lihat di :
server forensic
e-mail forensic
socket forensic
network forensic