Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/esg/endpoint/help/es-es/index.html?contextId=forensics

Registros forenses

La Sophos Diagnostic Utility (SDU) puede generar registros forenses para que los equipos de respuesta a incidentes de Sophos los utilicen.

Esta función solo está disponible para dispositivos Windows.

Ejecutar SDU en modo forense

Para usar el modo forense, debe ejecutar SDU desde la línea de comandos de la siguiente manera:

  1. En sus archivos de programa, vaya a Sophos/Sophos Diagnostic Utility.
  2. Ejecute sducli.exe -forensics.

También puede usar parámetros para personalizar el registro forense.

Parámetros forenses

Los parámetros disponibles son los siguientes.

Análisis forense

Recoge detalles forenses. El valor por defecto está desactivado.

-[no-]forensics

Modo forense

Especifica la cantidad de datos que se recopilan. Utilice esto con el modo "fast" (menos datos), "standard" o "full" (la mayoría de datos). Si no se especifica ningún modo, se utiliza "standard".

SDU comprueba el archivo de configuración para ver qué datos debe recopilar el modo seleccionado.

-forensics="<mode>"

Archivo de configuración

Nombre del archivo de configuración que especifica qué datos se recopilan en modo "fast", "standard" o "full". El archivo por defecto suministrado es sduconfig.xml.

-config="<filename>"

Registro forense y estándar de SDU

Cuando activa el registro forense, las opciones de registro estándar de SDU, como la recopilación de información del sistema, se desactivan de forma predeterminada.

Sin embargo, puede combinar el registro forense con el registro estándar de SDU si lo desea. Por ejemplo, introduzca este comando:

sducli.exe -forensics=fast -sysinfo

Esto recopila información del sistema, así como datos forenses. Para conocer los detalles de las opciones estándar de SDU, consulte Solucionar problemas.