取證記錄
Sophos Diagnostic Utility (SDU) 可以產生取證記錄,供 Sophos 安全事件回應團隊使用。
此功能僅適用於 Windows 裝置。
以取證模式執行 SDU
要使用取證模式,必須從命令行執行 SDU,如下所示:
- 在程式檔案中,移至
Sophos/Sophos Diagnostic Utility
。 - 執行
sducli.exe -forensics
。
您也可以使用參數自訂取證日誌記錄。
取證參數
可用的參數如下所示。
取證
收集取證詳細資料。預設值為關閉。
-[no-]forensics
取證模式
指定收集的資料量。將其與「快速」(最少資料)、「標準」或「完整」(最多資料) 模式配合使用。如果不指定模式,則使用「標準」。
SDU 檢查設定檔以查看所選模式應收集哪些資料。
-forensics="<mode>"
設定檔
設定檔的名稱,指定透過「快速」、「標準」或「完整」模式收集哪些資料。提供的預設檔案是 sduconfig.xml
。
-config="<filename>"
取證和標準 SDU 日誌記錄
開啟取證日誌記錄時,標準 SDU 日誌記錄選項 (如系統資訊收集) 預設為關閉。
但是,如果需要,您可以將取證日誌記錄與標準 SDU 日誌記錄結合使用。例如,輸入以下命令:
sducli.exe -forensics=fast -sysinfo
這將收集系統資訊和取證資料。有關標準 SDU 選項的詳細資料,請參閱 疑難排解。