Pular para o conteúdo

Logs forenses

O Sophos Diagnostic Utility (SDU) pode gerar logs forenses para que as equipes de resposta a incidentes da Sophos os utilizem.

Este recurso está disponível apenas para dispositivos com Windows.

Executar SDU no modo forense

Para usar o modo forense, você deve executar o SDU a partir da linha de comando da seguinte forma:

  1. Em seus arquivos de programa, vá para Sophos/Sophos Diagnostic Utility.
  2. Execute sducli.exe -forensics.

Você também pode usar parâmetros para personalizar o registro em log forense.

Parâmetros forenses

Os parâmetros disponíveis são os seguintes.

Análise forense

Coleta detalhes forenses. O padrão é desativado.

-[no-]forensics

Modo forense

Especifica a quantidade de dados coletados. Use com o modo "fast" (mínimo de dados), "standard" ou "full" (maioria dos dados). "standard" é usado se você não especificar um modo.

O SDU verifica o arquivo de configuração para ver quais dados o modo selecionado deve coletar.

-forensics="<mode>"

Arquivo de configuração

Nome do arquivo de configuração que especifica quais dados são coletados pelo modo "fast", "standard" ou "full". O arquivo padrão fornecido é sduconfig.xml.

-config="<filename>"

Registro em log do SDU forense e padrão

Quando você ativa o registro em log forense, as opções padrão de registro em log do SDU, como coleta de informações do sistema, são desativadas por padrão.

No entanto, você pode combinar o registro em log forense com o registro em log do SDU padrão, se quiser. Por exemplo, digite este comando:

sducli.exe -forensics=fast -sysinfo

Isso coleta informações do sistema, bem como dados forenses. Para obter detalhes das opções do SDU padrão, consulte Solucionar problemas.