Registros forenses
La Sophos Diagnostic Utility (SDU) puede generar registros forenses para que los equipos de respuesta a incidentes de Sophos los utilicen.
Esta función solo está disponible para dispositivos Windows.
Ejecutar SDU en modo forense
Para usar el modo forense, debe ejecutar SDU desde la línea de comandos de la siguiente manera:
- En sus archivos de programa, vaya a
Sophos/Sophos Diagnostic Utility
. - Ejecute
sducli.exe -forensics
.
También puede usar parámetros para personalizar el registro forense.
Parámetros forenses
Los parámetros disponibles son los siguientes.
Análisis forense
Recoge detalles forenses. El valor por defecto está desactivado.
-[no-]forensics
Modo forense
Especifica la cantidad de datos que se recopilan. Utilice esto con el modo "fast" (menos datos), "standard" o "full" (la mayoría de datos). Si no se especifica ningún modo, se utiliza "standard".
SDU comprueba el archivo de configuración para ver qué datos debe recopilar el modo seleccionado.
-forensics="<mode>"
Archivo de configuración
Nombre del archivo de configuración que especifica qué datos se recopilan en modo "fast", "standard" o "full". El archivo por defecto suministrado es sduconfig.xml
.
-config="<filename>"
Registro forense y estándar de SDU
Cuando activa el registro forense, las opciones de registro estándar de SDU, como la recopilación de información del sistema, se desactivan de forma predeterminada.
Sin embargo, puede combinar el registro forense con el registro estándar de SDU si lo desea. Por ejemplo, introduzca este comando:
sducli.exe -forensics=fast -sysinfo
Esto recopila información del sistema, así como datos forenses. Para conocer los detalles de las opciones estándar de SDU, consulte Solucionar problemas.