Não é raro termos de nos debruçar sobre uma quantidade quase infinita de linhas de log em busca de provas de um incidente, visando definir como e quando aconteceu, quem o fez, enfim estabelecer a verdade dos fatos relacionados com aquilo que sendo investigado. Mas o que são logs?

Logs são registros de eventos de importância produzidos por um sistema computacional, permitindo que se conheça o histórico de atividades. São geralmente utilizados para fins de auditoria e depuração de problemas, e podem ser de grande utilidade como prova digital, estabelecendo autoria de ações em um sistema.

Os logs são normalmente gravados em arquivos texto e podem ser analisados utilizando uma planilha eletrônica, um editor de texto simples ou alguns aplicativos específicos para este fim. O Linux possui comandos extremamente úteis para análise de logs como o cat, o tail, o grep, entre outros que, combinados, oferecem grande flexibilidade para a pesquisa. Existem alternativas em modo gráfico como o Glogg que fornecem uma melhor visualização e ferramentas de pesquisa tanto para o ambiente Linux quanto para o Windows. Os resultados a serem obtidos na utilização destes comandos podem ser potencializado se o perito possui algum conhecimento em expressões regulares.

Aplicativos para auxiliar a leitura e análise de logs que valem a pena:

1. Glogg – http://glogg.bonnefon.org – (Linux/Windows)
2. Event Log Explorer – http://www.eventlogxp.com – (Windows)
3. Log Expert – http://www.log-expert.de – (Windows)
   
4. Log Viewer Pro – http://www.uvviewsoft.com/logviewer – (Windows)
5. Snake Tail – http://snakenest.com – (Linux/Windows)
6. Tail – http://tailforwin32.sourceforge.net – (Windows)
7. Baretail e Baregrep – http://www.baremetalsoft.com – (Windows)

Outro fator importante na análise de logs é conhecer como está estruturado os registros de cada ação, assim como saber de que forma as datas/horas são registradas (local ou UTC). Cada linha de registro possui uma sequência de informações e saber o que cada informação significa fará com que o resultado da análise seja rápido e conciso.

Existe arquivos de log em vários sistemas, desde instant messengers, servidores web, ftp, smtp, banco de dados, etc. Caso os esteja procurando, basta verificar a documentação do sistema e procurar os locais usuais de armazenamento.

Até o próximo.