Logs forenses
O Sophos Diagnostic Utility (SDU) pode gerar logs forenses para que as equipes de resposta a incidentes da Sophos os utilizem.
Este recurso está disponível apenas para dispositivos com Windows.
Executar SDU no modo forense
Para usar o modo forense, você deve executar o SDU a partir da linha de comando da seguinte forma:
- Em seus arquivos de programa, vá para
Sophos/Sophos Diagnostic Utility
. - Execute
sducli.exe -forensics
.
Você também pode usar parâmetros para personalizar o registro em log forense.
Parâmetros forenses
Os parâmetros disponíveis são os seguintes.
Análise forense
Coleta detalhes forenses. O padrão é desativado.
-[no-]forensics
Modo forense
Especifica a quantidade de dados coletados. Use com o modo "fast" (mínimo de dados), "standard" ou "full" (maioria dos dados). "standard" é usado se você não especificar um modo.
O SDU verifica o arquivo de configuração para ver quais dados o modo selecionado deve coletar.
-forensics="<mode>"
Arquivo de configuração
Nome do arquivo de configuração que especifica quais dados são coletados pelo modo "fast", "standard" ou "full". O arquivo padrão fornecido é sduconfig.xml
.
-config="<filename>"
Registro em log do SDU forense e padrão
Quando você ativa o registro em log forense, as opções padrão de registro em log do SDU, como coleta de informações do sistema, são desativadas por padrão.
No entanto, você pode combinar o registro em log forense com o registro em log do SDU padrão, se quiser. Por exemplo, digite este comando:
sducli.exe -forensics=fast -sysinfo
Isso coleta informações do sistema, bem como dados forenses. Para obter detalhes das opções do SDU padrão, consulte Solucionar problemas.