Zum Inhalt

Forensische Protokolle

Das Sophos Diagnostic Utility (SDU) kann forensische Protokolle für die Sophos Incident Response Teams erstellen.

Diese Funktion ist nur für Windows-Geräte verfügbar.

SDU im forensischen Modus ausführen

Um den forensischen Modus zu verwenden, müssen Sie SDU wie folgt von der Befehlszeile aus ausführen:

  1. Gehen Sie in Ihren Programmdateien zu Sophos/Sophos Diagnostic Utility.
  2. Führen Sie sducli.exe -forensics aus.

Sie können auch Parameter verwenden, um die forensische Protokollierung anzupassen.

Forensische Parameter

Folgende Parameter stehen zur Verfügung:

Forensik

Erfasst forensische Details. Standardmäßig ist diese Option deaktiviert.

-[no-]forensics

Forensik-Modus

Gibt an, wie viele Daten erfasst werden. Verwenden Sie dies mit dem Modus „fast“ (geringste Daten), „standard“ oder „full“ (meiste Daten). „Standard“ wird verwendet, wenn Sie keinen Modus angeben.

SDU prüft die Konfigurationsdatei, um festzustellen, welche Daten der ausgewählte Modus erfassen soll.

-forensics="<mode>"

Konfigurationsdatei

Name der Konfigurationsdatei, die angibt, welche Daten im Modus „fast“, „standard“ oder „full“ erfasst werden. Die angegebene Standarddatei lautet sduconfig.xml.

-config="<filename>"

Forensische und standardmäßige SDU-Protokollierung

Wenn Sie die forensische Protokollierung aktivieren, werden standardmäßige SDU-Protokollierungsoptionen wie die Erfassung von Systeminformationen standardmäßig deaktiviert.

Bei Bedarf können Sie jedoch forensische Protokollierung mit Standard-SDU-Protokollierung kombinieren. Geben Sie zum Beispiel diesen Befehl ein:

sducli.exe -forensics=fast -sysinfo

Dabei werden sowohl Systeminformationen als auch forensische Daten erfasst. Für Details zu den Scan-Optionen siehe Fehlersuche.