跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/esg/endpoint/help/zh-tw/index.html?contextId=forensics

取證記錄

Sophos Diagnostic Utility (SDU) 可以產生取證記錄,供 Sophos 安全事件回應團隊使用。

此功能僅適用於 Windows 裝置。

以取證模式執行 SDU

要使用取證模式,必須從命令行執行 SDU,如下所示:

  1. 在程式檔案中,移至 Sophos/Sophos Diagnostic Utility
  2. 執行 sducli.exe -forensics

您也可以使用參數自訂取證日誌記錄。

取證參數

可用的參數如下所示。

取證

收集取證詳細資料。預設值為關閉。

-[no-]forensics

取證模式

指定收集的資料量。將其與「快速」(最少資料)、「標準」或「完整」(最多資料) 模式配合使用。如果不指定模式,則使用「標準」。

SDU 檢查設定檔以查看所選模式應收集哪些資料。

-forensics="<mode>"

設定檔

設定檔的名稱,指定透過「快速」、「標準」或「完整」模式收集哪些資料。提供的預設檔案是 sduconfig.xml

-config="<filename>"

取證和標準 SDU 日誌記錄

開啟取證日誌記錄時,標準 SDU 日誌記錄選項 (如系統資訊收集) 預設為關閉。

但是,如果需要,您可以將取證日誌記錄與標準 SDU 日誌記錄結合使用。例如,輸入以下命令:

sducli.exe -forensics=fast -sysinfo

這將收集系統資訊和取證資料。有關標準 SDU 選項的詳細資料,請參閱 疑難排解