$ sudo watch --time.decode
INIT-ZONE: Часовниците на системата – Декодиране на времето чрез логове и аномалии
001. Времето не лъже – системата го записва
Всяка команда оставя отпечатък. Не само в логовете, но и във времето.
Часовниците на системата – syslog, journalctl, auth.log – шепнат с гласовете на всяко действие. Истинският анализатор не пита „какво се е случило“, а „кога и защо точно тогава“.
002. Логовете като времева капсула
003. Bash history и несъвпадения във време</B]
Истинският наблюдател гледа не какво е написано, а кога.
Bash history рядко е синхронизиран с реалните логове – но ако виждаш команди без sudo, които съвпадат с logins в auth.log, имаш картината.
004. Логовете помнят, кешът подсказва
Ако логовете са изтрити, винаги има резервни гласове:
- pagefile.sys (Windows) или swap (Linux) пазят остатъчни сесии
- DNS cache и ARP таблици дават „когато и с кого“
- браузърният кеш често пази времето на достъпа, дори без история
005. Финал: Времето е доказателство без глас
INIT-ZONE: Часовниците на системата – Декодиране на времето чрез логове и аномалии
001. Времето не лъже – системата го записваВсяка команда оставя отпечатък. Не само в логовете, но и във времето.
Часовниците на системата – syslog, journalctl, auth.log – шепнат с гласовете на всяко действие. Истинският анализатор не пита „какво се е случило“, а „кога и защо точно тогава“.
002. Логовете като времева капсула- /var/log/auth.log – логин опити, sudo команди, PAM реакции
- /var/log/syslog – системни събития и демон активности
- /var/log/kern.log – драйвъри, ядро и хардуерни сигнали
- journalctl --since="1 hour ago" – за живи системи
003. Bash history и несъвпадения във време</B]Истинският наблюдател гледа не какво е написано, а кога.
Bash history рядко е синхронизиран с реалните логове – но ако виждаш команди без sudo, които съвпадат с logins в auth.log, имаш картината.
- HISTTIMEFORMAT може да бъде включен за точни timestamp-и
- Проверка на timezone конфликти между системи
- Аномалии в време: скокове, несъответствия и нарочно пренареждане
004. Логовете помнят, кешът подсказваАко логовете са изтрити, винаги има резервни гласове:
- pagefile.sys (Windows) или swap (Linux) пазят остатъчни сесии
- DNS cache и ARP таблици дават „когато и с кого“
- браузърният кеш често пази времето на достъпа, дори без история
005. Финал: Времето е доказателство без глас┌──[@iflux@logwatcher]
│ trace: [timestamps aligned]
└─> echo "Истината е винаги на време. Само трябва да знаеш кога да гледаш."
│ trace: [timestamps aligned]
└─> echo "Истината е винаги на време. Само трябва да знаеш кога да гледаш."