了解鑑識可能從 Linux 端點收集的基本資訊類別中的證據類型。
系統資訊
|
證據資料防護
|
說明
|
|
主機名稱
|
當前機器的標準主機名稱
|
|
正常運行時間
|
自開機以來的秒數
|
|
啟動時間
|
系統啟動的時間
|
|
安裝時間
|
系統安裝的時間和日期
|
|
機器 ID
|
對應於本地系統的唯一機器 ID
|
|
系統架構
|
系統正在運行的硬體類型
|
|
實體記憶體 (KB)
|
總可用 RAM(以千位元組計)
|
|
CPU 實體核心
|
系統物理中央處理單元 (CPU) 核心的總數
|
作業系統版本
|
證據資料防護
|
說明
|
|
分配
|
作業系統發行版的名稱
|
|
父分佈
|
當前系統可能衍生的密切相關作業系統發行版的名稱
|
|
平台
|
作業系統的名稱或ID,不包括版本資訊
|
|
版本
|
作業系統版本
|
介面詳細資訊
|
證據資料防護
|
說明
|
|
MAC
|
相關系統硬體的媒體存取控制 (MAC) 位址
|
|
名稱
|
硬體介面的名稱
|
|
類型
|
硬體位址類型
|
介面地址
|
證據資料防護
|
說明
|
|
MAC
|
相關硬體介面卡的 MAC 位址(如果有的話)
|
|
名稱
|
硬體介面的名稱
|
|
地址
|
介面的相關IP位址
|
|
遮罩
|
與介面地址相關聯的子網路遮罩
|
|
類型
|
地址格式
|
磁碟區資訊
|
證據資料防護
|
說明
|
|
路徑
|
檔案系統路徑的前綴(如果有的話)
|
|
名稱
|
目前掛載的檔案系統名稱
|
|
掛載類型
|
已掛載的檔案系統類型
|
|
總大小 (KB)
|
檔案系統的總大小(以千位元組計)
|
|
總空閒 (KB)
|
檔案系統的總可用大小(以千位元組為單位)
|
套件
|
證據資料防護
|
說明
|
|
名稱
|
套件名稱
|
|
說明
|
套件描述
|
|
版本
|
套件版本
|