跳转至

页面永久链接

参考本页面时,请务必使用以下永久链接。它在将来的帮助版本中将保持不变。

https://docs.sophos.com/esg/endpoint/help/zh-cn/index.html?contextId=forensics

取证日志

Sophos Diagnostic Utility (SDU) 可生成取证日志供 Sophos 事件响应团队使用。

此功能只适用于 Windows 设备。

在取证模式下运行 SDU

要使用取证模式,必须从命令行运行 SDU,如下所示:

  1. 在程序文件中,转到 Sophos/Sophos Diagnostic Utility
  2. 运行 sducli.exe -forensics

您还可以使用参数,自定义取证日志记录。

取证参数

可用的参数如下所示。

取证

收集取证详细信息。默认值为关。

-[no-]forensics

取证模式

指定收集多少数据。此设置可以选择“fast”(最少数据)、“standard”或“full”(最多数据) 模式。如果不指定模式,则使用“standard”。

SDU 将检查配置文件,以查看所选模式应收集哪些数据。

-forensics="<mode>"

配置文件

指定“fast”、“standard”或“full”模式收集哪些数据的配置文件的名称。提供的默认文件为 sduconfig.xml

-config="<filename>"

取证和标准 SDU 日志记录

默认情况下,开启取证日志记录后,标准 SDU 日志记录选项 (如系统信息收集) 将关闭。

但是,如果需要,可以将取证日志记录与标准 SDU 日志记录结合使用。例如,输入以下命令:

sducli.exe -forensics=fast -sysinfo

这将收集系统信息以及取证数据。有关标准 SDU 选项的详细信息,请参阅故障排除