Forenzní protokoly
Nástroj Sophos Diagnostic Utility (SDU) může generovat forenzní protokoly pro týmy reakce na incidenty Sophos, které mají být použity.
Tato funkce je k dispozici pouze pro zařízení se systémem Windows.
Spusťte nástroj SDU ve forenzním režimu
Chcete-li použít forenzní režim, musíte spustit SDU z příkazového řádku následujícím způsobem:
- V souborech programu přejděte na
Sophos/Sophos Diagnostic Utility
. - Spusťte
sducli.exe -forensics
.
Můžete také použít parametry pro přizpůsobení forenzního protokolování.
Forenzní parametry
Dostupné parametry jsou následující.
Forenzní
Sbírá forenzní podrobnosti. Výchozí nastavení je vypnuto.
-[no-]forensics
Forenzní režim
Určuje, kolik dat se shromažďuje. Použijte jej v režimu „rychlý“ (nejméně dat), „standardní“ nebo „úplný“ (většina dat). Pokud režim neurčíte, použije se „standardní“.
Nástroj SDU zkontroluje konfigurační soubor, aby zjistil, která data by měl vybraný režim shromažďovat.
-forensics="<mode>"
Konfigurační soubor
Název konfiguračního souboru, který určuje, která data jsou shromažďována v režimu „rychlý“, „standardní“ nebo „úplný“. Přednastavený soubor je sduconfig.xml
.
-config="<filename>"
Forenzní a standardní protokolování nástroje SDU
Když zapnete forenzní protokolování, standardní možnosti protokolování nástroje SDU, jako je shromažďování systémových informací, jsou ve výchozím nastavení vypnuty.
Pokud však chcete, můžete kombinovat forenzní protokolování se standardním záznamem SDU. Zadejte například tento příkaz:
sducli.exe -forensics=fast -sysinfo
Tím se shromažďují systémové informace, stejně jako forenzní data. Podrobnosti o standardních možnostech nástroje SDU naleznete v části Odstraňování poruch.