Log2timeline（Plaso）には含まれていませんので脱線した話題になりますが、Ver 0.66 には jp_ntfs_change（Parse the content of a CSV output file from JP (NTFS Change log) というパーサが提供されています。

これは、NTFS のジャーナルファイル $UsnJrnl:$J を jp コマンドでパースした結果をタイムライン形式にするパーサかと思います。

私の確認不足の可能性が高いですが、SIFT 3.0 には jp コマンドが含まれていないようです。このjpツールは TZWorks が提供しているもので、現在は有償での提供になっているようです。（ツール単体だと $175.54 ということのようです）

Windows Journal Parser (jp)

https://tzworks.net/prototype_page.php?proto_id=5

以前はお試し版？として使えるものが SIFT 2.x には含まれていましたので、SIFT 2系であれば jp コマンドを実行すると下記メッセージが表示されてます。

---------------------------------- DISCLAIMER -------------------------------

The user agrees that all Software made available on the Website is

experimental in nature and use of Website and Software is at user's sole

risk.  The Software could include technical inaccuracies or errors.  Changes

are periodically added to the information herein, and TZWorks, LLC may make

improvements and/or changes to Software at any time.  TZWorks, LLC makes no

representations about the accuracy or usability of the Software and/or

Website for any purpose.  All software are provided "AS IS" and "WHERE IS"

without warranty of any kind including all implied warranties and conditions

of merchantability, fitness for any particular purpose, title and non-

infringement.  In no event shall TZWorks, LLC be liable for any kind of 

damage resulting from any cause or reason, arising out of it in connection

with the use or performance of information available from this Website.

-----------------------------------------------------------------------------

usage:

 jp -file <extracted $UsnJrnl:$J file> [-v] [-a] [format options]

 jp -image <disk image> [-offset <offset>] [-v] [-a] [format options]

       -v = verbose output [includes MFT entry of file]

       -a = all records, not just those closed

       -memory = will use minimal memory to run

       -base10 = output numbers in base10 vice hex

 

 output format options

       -csv = output in csv format [default]

       -xml = output in xml format

       -bodyfile = output in sleuth kit body-file format

       -csvl2t = output in log2timeline format

 

example of redirecting the output of change journal on c partition

 jp -partition c > output.txt

 

 TZWorksのjpを説明しているページでは、CSV や Log2timeline形式での出力という記述がありますので、CSV なりで出力してマージすればいけるのではないかと推測しています。NTFSのジャーナルが存在する場合には、内容をパースしタイムラインへ反映される必要が出ると思いますので、取り扱いには注意しておきたいところですね。