取证日志
Sophos Diagnostic Utility (SDU) 可生成取证日志供 Sophos 事件响应团队使用。
此功能只适用于 Windows 设备。
在取证模式下运行 SDU
要使用取证模式,必须从命令行运行 SDU,如下所示:
- 在程序文件中,转到
Sophos/Sophos Diagnostic Utility
。 - 运行
sducli.exe -forensics
。
您还可以使用参数,自定义取证日志记录。
取证参数
可用的参数如下所示。
取证
收集取证详细信息。默认值为关。
-[no-]forensics
取证模式
指定收集多少数据。此设置可以选择“fast”(最少数据)、“standard”或“full”(最多数据) 模式。如果不指定模式,则使用“standard”。
SDU 将检查配置文件,以查看所选模式应收集哪些数据。
-forensics="<mode>"
配置文件
指定“fast”、“standard”或“full”模式收集哪些数据的配置文件的名称。提供的默认文件为 sduconfig.xml
。
-config="<filename>"
取证和标准 SDU 日志记录
默认情况下,开启取证日志记录后,标准 SDU 日志记录选项 (如系统信息收集) 将关闭。
但是,如果需要,可以将取证日志记录与标准 SDU 日志记录结合使用。例如,输入以下命令:
sducli.exe -forensics=fast -sysinfo
这将收集系统信息以及取证数据。有关标准 SDU 选项的详细信息,请参阅故障排除。