Получение метафайлов NTFS

Чтобы получить метафайлы NTFS:

  1. Выберите действие по реагированию NTFS-метафайлы.

    Откроется панель Получить NTFS-метафайлы.

  2. В поле Метафайлы установите флажок напротив метафайлов, которые вы хотите получить:
    • $MFT
    • $LogFile
    • $Boot
    • $Secure
    • $Extend/$UsnJrnl
  3. В поле Том укажите имя диска, с которого вы хотите получить метафайлы.

    По умолчанию указано значение %SystemDrive%.

  4. При необходимости настройте следующие параметры:
    • В раскрывающемся списке Активы выберите устройство, с которого вы хотите получить метафайлы.

      По умолчанию поле содержит имя устройства, для которого ранее вы установили флажок. Можно выбрать устройство, которое не связано с алертом или инцидентом, но принадлежит тенанту алерта или инцидента либо его дочерним тенантам.

      Для выбора доступны только те активы, с которыми вы можете выполнить действие по реагированию.
      Устройства отображаются следующим образом: устройства, относящиеся к алерту или инциденту, помещаются в начало раскрывающего списка Активы, затем в алфавитном порядке отображаются устройства, принадлежащие тенанту алерта или инцидента, а также дочерним тенантам.

    • При необходимости в поле Описание напишите описание или комментарий к действию по реагированию.
  5. Нажмите на кнопку Получить.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

В результате действия реагирования NTFS-метафайлы сохраняются в ZIP-архиве.

Просмотр результата действия по реагированию

Вы можете просмотреть и скачать архив одним из следующих способов:

В начало