Dzienniki dochodzeniowe
Narzędzie Sophos Diagnostic Utility (SDU) może generować dzienniki dochodzeniowe przeznaczone do wykorzystania przez zespoły Sophos zajmujące się reagowaniem na incydenty.
Funkcja ta jest dostępna tylko w systemie Windows.
Włączanie narzędzia SDU w trybie informatyki dochodzeniowej
Aby użyć trybu dochodzeniowego, narzędzie SDU należy uruchomić z wiersza polecenia w następujący sposób:
- W plikach programu przejdź do katalogu
Sophos/Sophos Diagnostic Utility
. - Uruchom
sducli.exe -forensics
.
Aby indywidualnie dostosować zapisywanie danych w dzienniku w trybie dochodzeniowym, można również użyć parametrów.
Parametry dochodzeniowe
Dostępne są następujące parametry:
Informatyka dochodzeniowa
Zbiera szczegółowe dane dochodzeniowe. Ustawieniem domyślnym jest off (wyłączone).
-[no-]forensics
Tryb informatyki dochodzeniowej
Określa ile jest zbieranych danych. Należy go używać w trybie „fast” (najmniej danych), „standard” lub „full” (większość danych). Jeśli nie określono żadnego trybu, używana jest opcja „standard”.
Narzędzie SDU sprawdza plik konfiguracyjny, aby określić, jakie dane mają być zbierane w wybranym trybie.
-forensics="<mode>"
Plik konfiguracyjny
Nazwa pliku konfiguracyjnego określająca, które dane są gromadzone w trybie „fast”, „standard” lub „full”. Domyślnie dostarczony jest plik sduconfig.xml
.
-config="<filename>"
Zapisywanie przez SDU danych w dzienniku w trybie dochodzeniowym i standardowym
Po włączeniu zapisywania danych w dzienniku w trybie dochodzeniowym, standardowe opcje SDU zapisywania w dzienniku, takie jak zbieranie informacji o systemie, są domyślnie wyłączone.
Użytkownik może jednak, jeśli chce, połączyć zapisywanie w dzienniku w trybie dochodzeniowym ze standardowym zapisywaniem w dzienniku SDU. Można, na przykład, wpisać następujące polecenie:
sducli.exe -forensics=fast -sysinfo
Spowoduje to zbieranie zarówno informacji systemowych, jak i danych dochodzeniowych. Szczegółowe informacje na temat standardowych opcji SDU znaleźć można w części Rozwiązywanie problemów.