# AN1438 — Analytic 1438 ## Descrição Detecta comportamentos de limpeza de logs correlacionando execução suspeita de comandos que visam arquivos em /var/log/, como deleções anômalas, truncamentos de logs de sistema e pipelines de shell incomuns (ex: `> /var/log/auth.log` ou `truncaté -s 0`). A telemetria inclui logs de auditoria do Linux (auditd), eventos de acesso a arquivos e execução de processos com linhagem suspeita. Adversários limpam logs para eliminar rastros forenses após comprometimento, dificultando a resposta a incidentes. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1438](https://attack.mitre.org/detectionstrategies/DET0520#AN1438)*