Přeskočit na obsah

Trvalý odkaz na stránku

Při odkazování na tuto stránku vždy používejte následující trvalý odkaz. V budoucích verzích nápovědy zůstane beze změny.

https://docs.sophos.com/esg/endpoint/help/cs-cz/index.html?contextId=forensics

Forenzní protokoly

Nástroj Sophos Diagnostic Utility (SDU) může generovat forenzní protokoly pro týmy reakce na incidenty Sophos, které mají být použity.

Tato funkce je k dispozici pouze pro zařízení se systémem Windows.

Spusťte nástroj SDU ve forenzním režimu

Chcete-li použít forenzní režim, musíte spustit SDU z příkazového řádku následujícím způsobem:

  1. V souborech programu přejděte na Sophos/Sophos Diagnostic Utility.
  2. Spusťte sducli.exe -forensics.

Můžete také použít parametry pro přizpůsobení forenzního protokolování.

Forenzní parametry

Dostupné parametry jsou následující.

Forenzní

Sbírá forenzní podrobnosti. Výchozí nastavení je vypnuto.

-[no-]forensics

Forenzní režim

Určuje, kolik dat se shromažďuje. Použijte jej v režimu „rychlý“ (nejméně dat), „standardní“ nebo „úplný“ (většina dat). Pokud režim neurčíte, použije se „standardní“.

Nástroj SDU zkontroluje konfigurační soubor, aby zjistil, která data by měl vybraný režim shromažďovat.

-forensics="<mode>"

Konfigurační soubor

Název konfiguračního souboru, který určuje, která data jsou shromažďována v režimu „rychlý“, „standardní“ nebo „úplný“. Přednastavený soubor je sduconfig.xml.

-config="<filename>"

Forenzní a standardní protokolování nástroje SDU

Když zapnete forenzní protokolování, standardní možnosti protokolování nástroje SDU, jako je shromažďování systémových informací, jsou ve výchozím nastavení vypnuty.

Pokud však chcete, můžete kombinovat forenzní protokolování se standardním záznamem SDU. Zadejte například tento příkaz:

sducli.exe -forensics=fast -sysinfo

Tím se shromažďují systémové informace, stejně jako forenzní data. Podrobnosti o standardních možnostech nástroje SDU naleznete v části Odstraňování poruch.