Forensische Protokolle
Das Sophos Diagnostic Utility (SDU) kann forensische Protokolle für die Sophos Incident Response Teams erstellen.
Diese Funktion ist nur für Windows-Geräte verfügbar.
SDU im forensischen Modus ausführen
Um den forensischen Modus zu verwenden, müssen Sie SDU wie folgt von der Befehlszeile aus ausführen:
- Gehen Sie in Ihren Programmdateien zu
Sophos/Sophos Diagnostic Utility
. - Führen Sie
sducli.exe -forensics
aus.
Sie können auch Parameter verwenden, um die forensische Protokollierung anzupassen.
Forensische Parameter
Folgende Parameter stehen zur Verfügung:
Forensik
Erfasst forensische Details. Standardmäßig ist diese Option deaktiviert.
-[no-]forensics
Forensik-Modus
Gibt an, wie viele Daten erfasst werden. Verwenden Sie dies mit dem Modus „fast“ (geringste Daten), „standard“ oder „full“ (meiste Daten). „Standard“ wird verwendet, wenn Sie keinen Modus angeben.
SDU prüft die Konfigurationsdatei, um festzustellen, welche Daten der ausgewählte Modus erfassen soll.
-forensics="<mode>"
Konfigurationsdatei
Name der Konfigurationsdatei, die angibt, welche Daten im Modus „fast“, „standard“ oder „full“ erfasst werden. Die angegebene Standarddatei lautet sduconfig.xml
.
-config="<filename>"
Forensische und standardmäßige SDU-Protokollierung
Wenn Sie die forensische Protokollierung aktivieren, werden standardmäßige SDU-Protokollierungsoptionen wie die Erfassung von Systeminformationen standardmäßig deaktiviert.
Bei Bedarf können Sie jedoch forensische Protokollierung mit Standard-SDU-Protokollierung kombinieren. Geben Sie zum Beispiel diesen Befehl ein:
sducli.exe -forensics=fast -sysinfo
Dabei werden sowohl Systeminformationen als auch forensische Daten erfasst. Für Details zu den Scan-Optionen siehe Fehlersuche.