Argumentos: Ruta a la Base de datos
Ejemplos: alert_db /usr/local/forensics/databases/redhat-8.0.md5
Después de que la imagen ha sido añadida al host, el usuario no necesita permisos de
escritura al directorio images. Sin embargo todos los usuarios necesitarán permisos de
escritura al directorio output. Todos los usuarios necesitarán permisos de lectura,
escritura y ejecución para el directorio logs, y cada usuario necesita permisos de
escritura y lectura para un log específico y archivo de notas. Todos los usuarios
necesitarán permisos de escritura al archivo general de suscesos del host. Todos los
usuarios necesitarán permisos de lectura y escritura al archivo de configuración del
host.
Detalles de la imagen
Cada imagen debe estar localizada en el directorio images del directorio host. Allí se
debe ubicar cualquier imagen reciente o un enlace simbólico a la imagen. Como se ha
visto previamente, los detalles de la imágen tales como punto de montaje y tipo de
sistema de archivos son guardados en el archivo de configuración del host, host.aut.
Cuando el archivo de imagen es analizado, todos los datos de salida son guardados en
el directorio output. Sín embargo, el directorio images debe tener permisos de solo de
lectura después de que todas las imágenes son añadidas.
Detalles de Registro de sucesos
El directorio de Reciento de Evidencia contiene un registro, autopsy.log, con entradas de
las veces en que se ha iniciado y detenido Autopsy. Este registro identifica cuando
Autopsy fué iniciado, en que puerto, y en que host.
Los registros del caso son almacenados en el directorio del caso con el nombre case.log.
El registro contiene una entrada del momento de la creación del caso, cuando es
abierto, y cuando los hosts en el caso fueron abiertos. Se almacenan también otras
acciones en el archivo de registro del host.
Aquí hay dos tipos de archivos de registro del host. Ambos son guardados en el
directorio del host. El archivo host.log es el archivo genérico de registro del host y tiene
entradas del momento en que el host es abierto y el momento en que las imagenes son
abiertas. El directorio log también contiene un archivo de registros para cada
investigador. El archivo de registros es nombrado con el nombre del investigador y una
extensión .log. Este contiene entradas de todas las acciones realizadas por un usuario
específico, tales como cuales directorios son listados y que archivos son vistos.
Cualquier nota creada por el investigador es guardado en un archivo de texto en el
directorio logs. El archivo es nombrado con el nombre del investigador y extensión
.notes.
La siguiente tabla muestra cuales registros grabados dan un alto nivel de acción.
Inicio de Autopsy - Registro de almacén de evidencia
Creación del caso - Registro de caso
Apertura de caso - Registro de caso
Creación de host - Registro de caso, Registro de log
Apertura de host - Registro de caso, Registro de log, Registro del investigador
Creación de imagen - Registro de host
Apertura de imagen - Registro de host, Registro del investigador