Przejdź do treści

Bezpośredni link strony

Zawsze używaj następującego linku bezpośredniego odwołując się do tej strony. Pozostanie on niezmieniony w przyszłych wersjach pomocy.

https://docs.sophos.com/esg/endpoint/help/pl-pl/index.html?contextId=forensics

Dzienniki dochodzeniowe

Narzędzie Sophos Diagnostic Utility (SDU) może generować dzienniki dochodzeniowe przeznaczone do wykorzystania przez zespoły Sophos zajmujące się reagowaniem na incydenty.

Funkcja ta jest dostępna tylko w systemie Windows.

Włączanie narzędzia SDU w trybie informatyki dochodzeniowej

Aby użyć trybu dochodzeniowego, narzędzie SDU należy uruchomić z wiersza polecenia w następujący sposób:

  1. W plikach programu przejdź do katalogu Sophos/Sophos Diagnostic Utility.
  2. Uruchom sducli.exe -forensics.

Aby indywidualnie dostosować zapisywanie danych w dzienniku w trybie dochodzeniowym, można również użyć parametrów.

Parametry dochodzeniowe

Dostępne są następujące parametry:

Informatyka dochodzeniowa

Zbiera szczegółowe dane dochodzeniowe. Ustawieniem domyślnym jest off (wyłączone).

-[no-]forensics

Tryb informatyki dochodzeniowej

Określa ile jest zbieranych danych. Należy go używać w trybie „fast” (najmniej danych), „standard” lub „full” (większość danych). Jeśli nie określono żadnego trybu, używana jest opcja „standard”.

Narzędzie SDU sprawdza plik konfiguracyjny, aby określić, jakie dane mają być zbierane w wybranym trybie.

-forensics="<mode>"

Plik konfiguracyjny

Nazwa pliku konfiguracyjnego określająca, które dane są gromadzone w trybie „fast”, „standard” lub „full”. Domyślnie dostarczony jest plik sduconfig.xml.

-config="<filename>"

Zapisywanie przez SDU danych w dzienniku w trybie dochodzeniowym i standardowym

Po włączeniu zapisywania danych w dzienniku w trybie dochodzeniowym, standardowe opcje SDU zapisywania w dzienniku, takie jak zbieranie informacji o systemie, są domyślnie wyłączone.

Użytkownik może jednak, jeśli chce, połączyć zapisywanie w dzienniku w trybie dochodzeniowym ze standardowym zapisywaniem w dzienniku SDU. Można, na przykład, wpisać następujące polecenie:

sducli.exe -forensics=fast -sysinfo

Spowoduje to zbieranie zarówno informacji systemowych, jak i danych dochodzeniowych. Szczegółowe informacje na temat standardowych opcji SDU znaleźć można w części Rozwiązywanie problemów.