Berdasarkan saran dari Badan Siber dan Sandi Negara, pengumpulan, dokumentasi, dan pencatatan informasi kebocoran data perlu dilakukan dalam 24 jam pertama sejak insiden terjadi. Meski begitu, banyak tantangan untuk aktivitas forensik digital yang dapat menghambat jalannya penyelidikan. Oleh karena itu, penelitian ini diharapkan dapat memberikan rekomendasi perangkat lunak forensik digital dan memberikan rekomendasi log sistem yang diprioritaskan untuk dianalisis.
Penelitian ini melakukan aktivitas digital forensik terhadap perangkat Linux dengan menggunakan framework Zachman dan membandingkan tiga aplikasi forensik Autopsy, FTK Imager, dan OSForensics berdasarkan kemampuannya dalam membuat dan melakukan preservasi image, pembacaan image, pencarian data yang terhapus, dan ekspor dan pembuatan hash pada data. Selain itu, dilakukan juga perbandingan data keluaran log bawaan Linux dalam kelengkapan informasinya mencatat aktivitas peretasan. Penilaian pada perbandingan aplikasi forensik dilakukan dengan nilai 0 hingga 2 berdasarkan keberhasilannya dalam melakukan aktivitas forensik. Sedangkan penilaian data keluaran log dilakukan berdasarkan informasi yang terkait dengan penyerangan dengan tiap informasi mendapat 1 nilai, dikalikan dengan bobot data tersebut dalam serangan, dengan nilai 1 apabila data tersebut adalah log pemindaian atau akses legal, nilai 2 apabila ditemukan akses ke perangkat secara ilegal, dan nilai 3 apabila dilakukan eskalasi izin terhadap perangkat.
Berdasarkan hasil analisis data pada perbandingan aplikasi forensik, FTK Imager mendapat nilai tertinggi yaitu 7. Pencarian data yang terhapus sulit dilakukan pada FTK Imager karena FTK Imager tidak mencantumkan nama file pada temuan data terhapus. Autopsy mendapat nilai 5 karena tidak ada fitur pembuatan dan preservasi image, serta pada pencarian data terhapus, nama file dan isinya berbeda sehingga data tidak relevan. Nilai 5 juga diberikan kepada OSForensics karena tidak dapat menemukan data yang terhapus serta tidak ada cara yang mudah untuk mengekspor file.
Berdasarkan hasil analisis data perbandingan kelengkapan informasi log, access.log mendapatkan nilai 14 dengan mencatat pemindaian dengan Nikto, akses ke robots.txt, dan akses ke aplikasi database MongoDB. Auth.log mendapatkan nilai 12 dengan mencatat masuknya penyerang melalui SSH yang disertai dengan waktu dan alamat IP sumber. Bash History mendapatkan nilai 6 karena mencatat perintah yang dilakukan untuk mengunduh dan iv menjalankan exploit. Dan Syslog mendapatkan nilai 2 karena tidak ada informasi yang cukup untuk dijadikan barang bukti. Kata kunci: forensik digital, framework, FORZA, Typhoon, log