mstoeck3/autopsy-flatpak
1
0
Fork 0
mirror of https://github.com/overcuriousity/autopsy-flatpak.git synced 2025-07-06 21:00:22 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translate : central_repo, command_line_ingest ans common_files pages

Browse Source
This commit is contained in:
Seb2lyon 2021-05-31 18:52:27 +02:00
parent 8acded0d3c
commit b1f7a29f7a
3 changed files with 207 additions and 219 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

258
docs/doxygen-user_fr/central_repo.dox
View File

@ -1,241 +1,229 @@
/*! \page central_repo_page Central Repository
/*! \page central_repo_page Référentiel central
[TOC]
\section cr_overview Overview
\section cr_overview Aperçu
The central repository allows a user to find matching artifacts both across cases and across data sources in the same case.
It is a combination of an ingest module that extracts, stores, and compares properties against lists of notable
properties, a database that stores these properties, and an additional panel in Autopsy to display other instances of each
property. The central repository database can either be SQLite or PostgreSQL.
Le référentiel central permet à un utilisateur de retrouver des artefacts correspondants à la fois entre les cas et entre les sources de données dans le même cas.
Il s'agit d'une combinaison de module d'acquisition qui extrait, stocke et compare les propriétés à des listes de
propriétés notables, une base de données qui stocke ces propriétés et un panneau supplémentaire dans Autopsy pour afficher d'autres instances de chaque
propriété. La base de données du référentiel central peut être SQLite ou PostgreSQL.
The following are some use cases for the central repository:
- <b>Finding Other Instances of a Property</b>
- If you navigate to a file or Autopsy artifact (such as a Web History item), there is a content viewer in the bottom right that will show you other instances of this property across the data stored in the central repository.
- <b>Alerting When Previously Notable Properties Occur</b>
- You can use the central repository to record which properties were associated with files and artifacts that were evidence (or notable). Once these properties have been tagged as notable they will be added to the Interesting Items section of the tree when seen again in any future cases.
- <b>Storing Hash Sets</b>
- You can create and import hash sets into the central repository instead of using local copies in the \ref hash_db_page "Hash Lookup module". These hash sets are functionally equivalent to local hash sets but can be shared among multiple analysts (when using a PostgreSQL central repository).
Voici quelques cas d'utilisation du référentiel central:
- <b>Recherche d'autres instances d'une propriété</b>
- Si vous accédez à un fichier ou à un artefact dAutopsy (tel quun élément de "Web History"), une visionneuse de contenu en bas à droite vous montrera dautres instances de cette propriété dans les données stockées dans le référentiel central.
- <b>Alerte lorsque des propriétés précédemment caractérisées comme notables se produisent</b>
- Vous pouvez utiliser le référentiel central pour enregistrer les propriétés associées aux fichiers et aux artefacts qui étaient des preuves (ou "notables"). Une fois que ces propriétés ont été marquées comme notables, elles seront ajoutées à la section "Interesting Items" de l'arborescence lorsqu'elles seront retrouvées dans de futurs cas.
- <b>Stockage des ensembles de hachage</b>
- Vous pouvez créer et importer des ensembles de hachage dans le référentiel central au lieu d'utiliser des copies locales pour le module \ref hash_db_page "Hash Lookup". Ces ensembles de hachage sont fonctionnellement équivalents aux ensembles de hachage locaux mais peuvent être partagés entre plusieurs analystes (lors de l'utilisation d'un référentiel central PostgreSQL).
\section cr_terms Terms and Concepts
\section cr_terms Termes et concepts
- <b>Central Repository</b> - The Autopsy feature containing the central repository database and Central Repository Ingest Module. Also responsible for displaying correlated properties to the user
- <b>Central Repository Database</b> - the SQLite or PostgreSQL database that holds all the data
- <b>Central Repository Ingest Module</b> - The ingest module responsible for adding new properties to the database and comparing these properties against existing notable properties
- <b>Property</b> - The data being stored/correlated. These can be file paths/MD5 hashes, email addresses, phone numbers, etc.
- <b>Référentiel central (Central Repository)</b> - La fonction dAutopsy contenant la base de données du référentiel central et le module dacquisition "Central Repository". Également responsable de l'affichage des propriétés corrélées pour l'utilisateur
- <b>Base de données du référentiel central (Central Repository Database)</b> - La base de données SQLite ou PostgreSQL qui contient toutes les données
- <b>Module d'acquisition "Central Repository"</b> - Module d'acquisition chargé d'ajouter de nouvelles propriétés à la base de données et de comparer ces propriétés aux propriétés notables existantes
- <b>Propriété (Property)</b> - Les données sont stockées/corrélées. Il peut s'agir de chemins de fichiers/hachages MD5, adresses e-mail, numéros de téléphone, etc...
\section cr_setup Setup
\section cr_setup Installer
The central repository settings are found on the main options panel (Tools->Options) on the "Central Repository" tab.
Les paramètres du référentiel central se trouvent dans le panneau d'options principal (Tools->Options) dans l'onglet "Central Repository".
\image html central_repo_options.png
\subsection cr_db_setup Database Configuration
\subsection cr_db_setup Database Configuration (Configuration de la base de données)
There are two types of central repository databases:
- <b>SQLite</b> - This type of database is stored in a file. It should only be used when a single client will be accessing the database. You can not use this option with \ref multiuser_page "multi-user cases".
- <b>PostgreSQL</b> - This type of database is stored on a server running either on the user's host or a remote server. This option must be used if multiple users will be using the same database.
Il existe deux types de bases de données de référentiel central:
- <b>SQLite</b> - Ce type de base de données est stocké dans un fichier. Il ne doit être utilisé que lorsqu'un seul client accède à la base de données. Vous ne pouvez pas utiliser cette option avec des \ref multiuser_page "cas multi-utilisateurs".
- <b>PostgreSQL</b> - Ce type de base de données est stocké sur un serveur s'exécutant soit sur l'hôte de l'utilisateur, soit sur un serveur distant. Cette option doit être utilisée si plusieurs utilisateurs utiliseront la même base de données.
\subsubsection cr_db_setup_auto Automatic Database Configuration
\subsubsection cr_db_setup_auto Configuration automatique de la base de données
Starting with Autopsy 4.15, when you load Autopsy and the central repository is not enabled you will be
asked if you want to enable it. Doing so will create a SQLite database in your Autopsy user folder (on Windows this will be in AppData). You will only be prompted to do this once. Whichever option you select, you can change your central repository settings later as described below.
À partir de la version 4.15 d'Autopsy, lorsque vous chargez le logiciel et que le référentiel central n'est pas activé, il vous sera demandé si vous souhaitez l'activer. Cela créera une base de données SQLite dans votre dossier utilisateur Autopsy (sous Windows, ce sera dans AppData). Vous ne serez invité à le faire qu'une seule fois. Quelle que soit l'option que vous sélectionnez, vous pouvez modifier les paramètres de votre référentiel central ultérieurement, comme décrit ci-dessous.
Since a SQLite database can't be used for multi-user cases, you are also given the option to switch to a PostgreSQL database when you \ref multiuser_install_clients "enable multi-user cases". If you are currently using a SQLite database, when you enable multi-user cases you will be asked if you want to switch to a PostgreSQL database on the same server. Note that the contents of your SQLite database will not be copied over.
Puisqu'une base de données SQLite ne peut pas être utilisée pour des cas multi-utilisateurs, vous avez également la possibilité de basculer vers une base de données PostgreSQL lorsque vous \ref multiuser_install_clients "activez les cas multi-utilisateurs". Si vous utilisez actuellement une base de données SQLite, lorsque vous activez des cas multi-utilisateurs, il vous sera demandé si vous souhaitez basculer vers une base de données PostgreSQL sur le même serveur. Notez que le contenu de votre base de données SQLite ne sera pas copié.
\subsubsection cr_db_setup_manual Manual Database Configuration
\subsubsection cr_db_setup_manual Configuration manuelle de la base de données
On the central repository options panel, check the 'Use a Central Repository' option and then click the Configure button to set up a database. There are three options here:
- <b>SQLite</b> - This option stores the database in a file. It should only be used when a single client will be accessing the database.
- <b>PostgreSQL using multi-user settings</b> - This option uses a central repository on the same PostgreSQL server that has been configured for \ref multiuser_page "multi-user cases". This option can not be selected if multi-user cases are not enabled. This is one of the options if multiple users will be using the same database.
- <b>Custom PostgreSQL</b> - This option uses a database server running either on the user's host or a remote server, where the server is specified in the central repository settings. This is one of the options if multiple users will be using the same database.
Dans le panneau d'options du référentiel central, cochez l'option "Use a Central Repository" puis cliquez sur le bouton "Configure" pour créer une base de données. Il y a trois options ici:
- <b>SQLite</b> - Cette option stocke la base de données dans un fichier. Il ne doit être utilisé que lorsqu'un seul client accède à la base de données.
- <b>PostgreSQL using multi-user settings</b> - Cette option utilise un référentiel central sur le même serveur PostgreSQL qui a été configuré pour \ref multiuser_page "les cas multi-utilisateurs". Cette option ne peut pas être sélectionnée si les cas multi-utilisateurs ne sont pas activés. C'est l'une des options à sélectionner si plusieurs utilisateurs utilisent la même base de données.
- <b>Custom PostgreSQL</b> - Cette option utilise un serveur de base de données s'exécutant sur l'hôte de l'utilisateur ou sur un serveur distant, où le serveur est spécifié dans les paramètres du référentiel central. C'est l'une des options à sélectionner si plusieurs utilisateurs utilisent la même base de données.
Once a database has been configured, the lower two buttons on the main panel will be enabled, which will be described below.
Une fois la base de données configurée, les deux boutons inférieurs du panneau principal seront activés, ce qui sera décrit ci-dessous.
<b>Setting up a PostgreSQL deployment using the multi-user settings</b>
<b>Configuration d'un déploiement PostgreSQL à l'aide des paramètres multi-utilisateurs</b>
See the \ref install_multiuser_page page for instructions on configuring a multi-user environment. Once done, you can select the "PostgreSQL using multi-user settings" option to create/use a central repository on that PostgreSQL server.
Voir la page \ref install_multiuser_page pour obtenir des instructions sur la configuration d'un environnement multi-utilisateur. Une fois cela fait, vous pouvez sélectionner l'option "PostgreSQL using multi-user settings" pour créer/utiliser un référentiel central sur ce serveur PostgreSQL.
<b>Setting up a custom PostgreSQL deployment</b>
<b>Configurer un déploiement PostgreSQL personnalisé</b>
If needed, see the \ref install_postgresql_page page for help setting up your PostgreSQL server.
Si nécessaire, consultez la page \ref install_postgresql_page pour obtenir de l'aide sur la configuration de votre serveur PostgreSQL.
For PostgreSQL all values are required, but some defaults are provided for convenience.
Pour PostgreSQL, toutes les valeurs sont requises, mais certaines valeurs par défaut sont fournies pour plus de commodité.
\image html central_repo_postgres.png
- Host Name/IP is the hostname or IP of your PostgreSQL server.
- Port is the port that the PostgreSQL server is listening on; default is 5432.
- User Name is a PostgreSQL user that can create and modify databases
- User Password is the password for the user.
- Host Name/IP : c'est le nom d'hôte ou l'adresse IP de votre serveur PostgreSQL.
- Port : c'est le port sur lequel le serveur PostgreSQL écoute; la valeur par défaut est 5432.
- User Name : c'est un utilisateur PostgreSQL qui peut créer et modifier des bases de données
- User Password : c'est le mot de passe de l'utilisateur.
If the database does not exist, you wll be prompted to create it.
Si la base de données n'existe pas, vous serez invité à la créer.
<b>Setting Up SQLite Deployment</b>
<b>Configuration du déploiement de SQLite</b>
Select SQLite in the Database Type to set up a SQLite database. SQLite databases should not be used if more than one client will be accessing the central repository.
Sélectionnez SQLite dans le type de base de données pour configurer une base de données SQLite. Les bases de données SQLite ne doivent pas être utilisées si plusieurs clients accèdent au référentiel central.
\image html central_repo_sqlite.png
Enter or browse to a folder for the database. If the database file does not exist in that folder, you will be prompted to create it.
Entrez ou recherchez un dossier pour la base de données. Si le fichier de base de données n'existe pas dans ce dossier, vous serez invité à le créer.
\subsection cr_manage_properties Manage Correlation Properties
\subsection cr_manage_properties Manage Correlation Properties (Gérer les propriétés de corrélation)
The Central Repository ingest module can save different types of properties to the database. By default all properties are recorded, but
this setting can be changed on the options panel through the Manage Correlation Properties button. Note that these settings
are saved to the database, so in a multi-user setting any changes will affect all users.
Le module d'acquisition "Central Repository" peut enregistrer différents types de propriétés dans la base de données. Par défaut, toutes les propriétés sont enregistrées, mais
ce paramètre peut être modifié dans le panneau d'options via le bouton "Manage Correlation Properties". Notez que ces paramètres
sont enregistrés dans la base de données, donc dans un paramètrage multi-utilisateur, toute modification affectera tous les utilisateurs.
\image html central_repo_types.png
Descriptions of the property types:
Descriptions des types de propriétés:
- <b>Files</b>
- Files are correlated based on MD5 hash and file path and name. The \ref hash_db_page must be enabled.
- Les fichiers sont corrélés en fonction du hachage MD5 et du chemin et du nom du fichier. Le module \ref hash_db_page doit être activé.
- <b>Domains</b>
- Domains are extracted from the various web artifacts, which primarily come from the \ref recent_activity_page.
- Les domaines sont extraits des différents artefacts Web, qui proviennent principalement du module \ref recent_activity_page.
- <b>Email Addresses</b>
- Email addresses are created by modules such as the \ref email_parser_page.
- Les adresses e-mail sont créées par des modules tels que \ref email_parser_page.
- <b>Phone Numbers</b>
- Phone numbers are currently only extracted from call logs, contact lists and message, which come from the \ref android_analyzer_page.
- Les numéros de téléphone ne sont actuellement extraits que des journaux d'appels, des listes de contacts et des messages, qui proviennent du module \ref android_analyzer_page.
- <b>USB Devices</b>
- USB device properties come from the registry parsing in the \ref recent_activity_page.
- Les propriétés du périphérique USB proviennent de l'analyse de la base de registre dans le module \ref recent_activity_page.
- <b>Wireless Networks</b>
- Wireless networks are correlated on SSIDs, and come from the registry parsing in the \ref recent_activity_page.
- Les réseaux sans fil sont corrélés sur les SSID et proviennent de l'analyse de la base de registre dans le module \ref recent_activity_page.
- <b>MAC Addresses</b>
- MAC address properties are currently only created by custom Autopsy modules.
- Les propriétés d'adresses MAC ne sont actuellement créées que par des modules Autopsy personnalisés.
- <b>IMEI Number</b>
- IMEIs properties are currently only created by custom Autopsy modules.
- Les propriétés d'IMEI ne sont actuellement créées que par des modules Autopsy personnalisés.
- <b>IMSI Number</b>
- IMSI properties are currently only created by custom Autopsy modules.
- Les propriétés d'IMSI ne sont actuellement créées que par des modules Autopsy personnalisés.
- <b>ICCID Number</b>
- ICCID properties are currently only created by custom Autopsy modules.
- Les propriétés d'ICCID ne sont actuellement créées que par des modules Autopsy personnalisés.
- <b>Credit Card</b>
- Credid Card properties are created by the \ref keyword_search_page.
- <b> App-specific Accounts (Facebook, Twitter, etc)</b>
- These properties primarily come from the \ref android_analyzer_page.
- Les propriétés de carte de crédit sont créées par le module \ref keyword_search_page.
- <b> App-specific Accounts (Facebook, Twitter, etc...)</b>
- Ces propriétés proviennent principalement du module \ref android_analyzer_page.
\subsection cr_manage_orgs Manage Organizations
\subsection cr_manage_orgs Manage Organizations (Gérer les organisations)
Organizations are stored in the central repository and contain contact information for the given organization. Organizations are used for Hash Sets saved in the central repository, and can also be associated with Autopsy cases.
Les organisations sont stockées dans le référentiel central et contiennent les informations de contact pour l'organisation donnée. Les organisations sont utilisées pour les jeux de hachage enregistrés dans le référentiel central et peuvent également être associées à des cas d'Autopsy.
\image html central_repo_orgs.png
One default org, "Not Specified" will always be present in the list. New organizations can be created, edited, and deleted through the appropriate buttons. Note that any organization that is currently in use by a case or hash set can not be deleted. All fields apart from the organization name are optional.
Une organisation par défaut, "Not Specified" sera toujours présente dans la liste. De nouvelles organisations peuvent être créées, modifiées et supprimées via les boutons appropriés. Notez que toute organisation actuellement utilisée par un cas ou un jeu de hachage ne peut pas être supprimée. Tous les champs à l'exception du nom de l'organisation sont facultatifs.
\image html central_repo_new_org.png
\subsection cr_show_cases Manage Cases
\subsection cr_show_cases Manage Cases (Gérer les cas)
Displays a list of all cases that are in the central repository database and details about each case.
Affiche une liste de tous les cas qui se trouvent dans la base de données du référentiel central et des détails sur chaque cas.
\image html central_repo_details.png
\section cr_using_repo Using the Central Repository
\section cr_using_repo Utilisation du référentiel central
\subsection cr_ingest_module Central Repository Module
\subsection cr_ingest_module Le module "Central Repository"
The Central Repository ingest module is responsible for adding properties to the database and comparing each property
against the list of notable properties. It is best to run all ingest modules to get the most out of the Correlation
Engine. For example, if Hash Lookup is not run then the Central Repository module will not put any files into the
database. If the Central Repository module is not run on a particular case but a central repository is enabled,
there will still be some limited functionality. The Content Viewer will still display matching properties from
other cases/data sources where the Central Repository was run.
Le module d'acquisition "Central Repository" est chargé d'ajouter des propriétés à la base de données et de comparer chaque propriété
à la liste des propriétés notables. Il est préférable d'exécuter tous les modules d'acquisition pour tirer le meilleur parti du moteur de corrélation. Par exemple, si "Hash Lookup" n'est pas exécuté, le module "Central Repository" ne mettra aucun fichier dans la
base de données. Si le module "Central Repository" n'est pas exécuté sur un cas particulier mais qu'un référentiel central est activé,
il y aura toujours des fonctionnalités limitées. La visionneuse de contenu affichera toujours les propriétés correspondantes dans
les autres cas/sources de données où le module "Central Repository" a été exécuté.
\image html central_repo_ingest_settings.png
There are three settings for the Central Repository ingest module:
Il existe trois paramètres pour le module d'acquisition "Central Repository":
<ul>
<li><b>Save items to the Central Repository</b> - This should only be unselected in the rare case that you don't want to add any properties from the current data source to the central repository, but still want to flag past occurrences.
<li><b>Flag items previously tagged as notable</b> - Enabling this causes Interesting Item/File artifacts to be created when properties matching those previously flagged are found. See the next section \ref cr_tagging for details.
<li><b>Flag previously seen devices</b> - When this is enabled, an Interesting Item artifact will be created if any device-related property (USB, MAC Address, IMSI, IMEI, ICCID) is found that is already in the central repository, regardless of whether they have been flagged.
<li><b>Save items to the Central Repository</b> - Cette option ne doit être désélectionnée que dans les rares cas où vous ne souhaitez pas ajouter de propriétés de la source de données actuelle au référentiel central, mais souhaitez quand même signaler les occurrences passées.
<li><b>Flag items previously tagged as notable</b> - L'activation de cette option entraîne la création d'artefacts d'éléments/fichiers intéressants lorsque des propriétés correspondant à celles précédemment marquées sont trouvées. Voir la section suivante \ref cr_tagging pour plus de détails.
<li><b>Flag previously seen devices</b> - Lorsque cette option est activée, un artefact "Interesting Item" sera créé si une propriété liée au périphérique (USB, adresse MAC, IMSI, IMEI, ICCID) est détectée et se trouve déjà dans le référentiel central, qu'elle ait été ou non signalée.
</li>
\subsection cr_tagging Tagging Files and Artifacts
\subsection cr_tagging Marquage de fichiers et d'artefacts
Tagging a file or artifact with a "notable" tag will change its associated property in the central repository to notable as well.
By default, there will be a tag named "Notable Item" that can be used for this purpose. See the \ref tagging_page "Tagging page" for more information on creating additional tags with notable status.
Any future data source ingest (where this module is enabled)
will use those notable properties in a similar manner as a Known Bad hash set, causing matching files and artifacts from that
ingest to be added to the Interesting Items list in that currently open case.
Marquer un fichier ou un artefact avec une balise "notable" changera également sa propriété associée dans le référentiel central en notable.
Par défaut, il y aura une balise nommée "Notable Item" qui pourra être utilisée à cette fin. Voir la page sur les \ref tagging_page "marquages" pour plus d'informations sur la création de balises supplémentaires avec un statut notable.
Toute future acquisition de source de données (où ce module est activé)
utilisera ces propriétés "notables" de la même manière qu'un ensemble de hachage "connus défavorablement", provoquant l'ajout des fichiers et artefacts correspondants de cette acquisition à la liste "Interesting Items" du cas actuellement ouvert.
\image html central_repo_tag_file.png
If a tag is accidentally added to a file or artifact, it can be removed though the context menu. This will remove its property's
notable status in the central repository.
Si une balise est accidentellement ajoutée à un fichier ou à un artefact, elle peut être supprimée via le menu contextuel. Cela supprimera sa propriété de statut notable dans le référentiel central.
If you would like to prevent the Interesting Items from being created in a particular case, you can disable the flagging
through the run time ingest properties. Note that this only disables the Interesting Item results - all properties
are still added to the central repository.
Si vous souhaitez empêcher la création de "Interesting Items" dans un cas particulier, vous pouvez désactiver le marquage
via les propriétés d'acquisition au moment de l'exécution. Notez que cela désactive uniquement les résultats de "Interesting Item" - toutes les propriétés sont toujours ajoutés au référentiel central.
\image html central_repo_ingest_settings.png
\section cr_viewing_results Viewing Results
\section cr_viewing_results Affichage des résultats
Results from enabling a central repository and running the Central Repository Ingest Module can be seen in two places:
- The Content Viewer for each file or artifact will display all matching properties from other cases/data sources
- The Interesting Files node of the result tree will contain any files or results that matched properties previously marked as notable
Les résultats de l'activation d'un référentiel central et de l'exécution du module d'acquisition "Central Repository" peuvent être consultés à deux endroits:
- La visionneuse de contenu, pour chaque fichier ou artefact, affichera toutes les propriétés correspondantes dans d'autres cas/sources de données
- Le nœud "Interesting Files" de l'arborescence contiendra tous les fichiers ou résultats correspondant aux propriétés précédemment marquées comme notables
\subsection cr_content_viewer Content Viewer
\subsection cr_content_viewer Visionneuse de contenu
The \ref content_viewer_page panel is where previous instances of properties are displayed. Without a central repository enabled,
this "Other Occurrences" panel will show files with hashes matching the selected file within the current case. Enabling a central
repository allows this panel to also display matching properties stored in the database, and adds some functionality to the row.
Note that the Central Repository Ingest Module does not have to have been run on the current data source to see correlated
properties from the central repository. If the selected file or artifact is associated by one of the supported Correlation Types,
to one or more properties in the database, the associated properties will be displayed. Note: the Content
Viewer will display ALL associated properties available in the database. It ignores the user's enabled/disabled Correlation Properties.
La \ref content_viewer_page est l'endroit où les instances précédentes des propriétés sont affichées. Sans un référentiel central activé,
le panneau "Other Occurrences" affichera les fichiers avec des hachages correspondant au fichier sélectionné dans le cas actuel. Activer un référentiel central permet à ce panneau d'afficher également les propriétés correspondantes stockées dans la base de données et ajoute des fonctionnalités à la ligne.
Notez que le module d'acquisition "Central Repository" n'a pas besoin d'avoir été exécuté sur la source de données actuelle pour voir les
propriétés du référentiel central. Si le fichier ou l'artefact sélectionné est associé, par l'un des types de corrélation pris en charge,
à une ou plusieurs propriétés de la base de données, les propriétés associées seront affichées. Remarque: La visionneuse de contenu affichera TOUTES les propriétés associées disponibles dans la base de données. Elle ignore les propriétés de corrélation activées/désactivées de l'utilisateur.
The other occurrences are grouped by case and then data source. Selecting one of the results brings up information on it in the right column. If a file or artifact was previously marked as notable, you will see "notable" in red next to "Known Status".
Les autres occurrences sont regroupées par cas, puis par source de données. La sélection de l'un des résultats fait apparaître des informations à ce sujet dans la colonne de droite. Si un fichier ou un artefact était précédemment marqué comme notable, vous verrez "notable" en rouge à côté de "Known Status".
\image html central_repo_content_viewer.png
The user can click on any column heading to sort by the values in that column.
L'utilisateur peut cliquer sur n'importe quel en-tête de colonne pour trier les valeurs de cette colonne.
If the user selects an entry in the third column and then right-clicks, a menu will be displayed.
This menu has several options.
Si l'utilisateur sélectionne une entrée dans la troisième colonne puis clique avec le bouton droit de la souris, un menu s'affiche.
Ce menu a plusieurs options.
-# Export All Other Occurrences to CSV
-# Show Case Details
-# Show Frequency
-# Show Frequency
<b>Export All Other Occurrences to CSV</b>
<b>Export All Other Occurrences to CSV (Exporter toutes les autres occurrences au format CSV)</b>
This option will save every other occurrence in the Content Viewer table to a CSV file.
By default, the CSV file is saved into the Export directory inside the currently open Autopsy case,
but the user is free to select a different location.
Cette option enregistre toutes les autres occurrences du tableau de la visionneuse de contenu dans un fichier CSV.
Par défaut, le fichier CSV est enregistré dans le répertoire d'export à l'intérieur du cas d'Autopsy actuellement ouvert,
mais l'utilisateur est libre de sélectionner un emplacement différent.
<b>Show Case Details</b>
<b>Show Case Details (Afficher les détails du cas)</b>
This option will open a dialog that displays all of the relevant details for the selected case. The
details will include:
- Case UUID
- Case Name
- Case Creation Date
- Case Examiner contact information
- Case Examiner's notes
Cette option ouvrira une boîte de dialogue qui affiche tous les détails pertinents pour le cas sélectionné. Ces détails comprendront:
- Case UUID (Identifiant du cas)
- Case Name (Nom du cas)
- Case Creation Date (Date de création du cas)
- Case Examiner contact information (Informations de contact de l'analyste du cas)
- Case Examiner's notes (Notes de l'analyste du cas)
These details would have been entered by the examiner of the selected case, when creating the case or later by visiting
the Case -> Case Properties menu.
Ces détails auront été saisis par l'analyste du cas sélectionné, lors de la création du cas ou plus tard en allant dans le menu Case->Case Properties.
<b>Show Frequency</b>
<b>Show Frequency (Afficher la fréquence)</b>
This shows how common the selected file is. The value is the percentage of case/data source tuples that have the selected property.
Cela montre à quel point le fichier sélectionné est commun. La valeur est le pourcentage de tuples de cas/source de données qui ont la propriété sélectionnée.
\subsection cr_interesting_items Interesting Items
\subsection cr_interesting_items Interesting Items (Éléments intéressants)
In the Results tree of an open case is an entry called Interesting Items. When this module is enabled, all of the enabled
Correlatable Properties will cause matching files and artifacts to be added to this Interesting Items tree during ingest.
Dans la section "Results" de l'arborescence d'un cas ouvert se trouve une entrée intitulée "Interesting Items". Lorsque ce module est activé, tous les propriétés corrélables entraîneront l'ajout de fichiers et d'artefacts correspondants à cette zone "Interesting Items" de l'arborescence, lors de l'acquisition.
\image html central_repo_interesting_items.png
As an example, suppose the Files Correlatable Property is enabled and the ingest is currently processing a file "badfile.exe", and the MD5 hash
for that file already exists in the database as a notable file property. In this case an entry in the Interesting Items tree will be added for
the current instance of "badfile.exe" in the data source currently being ingested.
Par exemple, supposons que la propriété "Files Correlatable" est activée et que l'acquisition traite actuellement un fichier "badfile.exe" dont le hachage MD5 existe déjà dans la base de données en tant que propriété de fichier notable. Dans ce cas, une entrée dans l'arborescence "Interesting Items" sera ajoutée pour
l'instance actuelle de "badfile.exe" dans la source de données en cours d'acquisition.
The same type of thing will happen for each enabled Correlatable Property.
Le même type de chose se produira pour chaque propriété corrélable activée.
In the case of the phone number correlatable type, the Interesting Items tree will start a sub-tree for each phone number. The sub-tree will
then contain each instance of that notable phone number.
Dans le cas du type de numéro de téléphone corrélable, l'arborescence "Interesting Items" affichera une sous-arborescence pour chaque numéro de téléphone. Le sous-arbre contiendra alors chaque instance de ce numéro de téléphone notable.

114
docs/doxygen-user_fr/command_line_ingest.dox
View File

@ -1,136 +1,136 @@
/*! \page command_line_ingest_page Command Line Ingest
/*! \page command_line_ingest_page Command Line Ingest (Acquisition en ligne de commande)
[TOC]
\section command_line_ingest_overview Overview
\section command_line_ingest_overview Aperçu
The Command Line Ingest feature allows you to run many of Autopsy's functions from the command line. You can add data sources to cases, choose which ingest modules to run, and automatically generate a report. When complete, these cases can be opened as normal or you can simply use the reports and other output without opening Autopsy.
La fonction "Command Line Ingest" vous permet d'exécuter de nombreuses fonctions d'Autopsy à partir de la ligne de commande. Vous pouvez ajouter des sources de données aux cas, choisir les modules d'acquisition à exécuter et générer automatiquement un rapport. Une fois terminés, ces cas peuvent être ouverts normalement ou vous pouvez simplement utiliser les rapports et autres sorties sans ouvrir Autopsy.
\section command_line_ingest_config Configuration
To configure command line ingest, go to Tools->Options and then select the "Command Line Ingest" tab. If you would like to create or open multi-user cases, you'll need to \ref install_multiuser_page "configure the multi-user settings".
Pour configurer l'acquisition en ligne de commande, accédez à Tools->Options puis sélectionnez l'onglet "Command Line Ingest". Si vous souhaitez créer ou ouvrir des cas multi-utilisateurs, vous devrez \ref install_multiuser_page "configurer les paramètres multi-utilisateurs".
\image html command_line_ingest_options.png
\subsection command_line_ingest_profile Configuring Ingest Profiles
\subsection command_line_ingest_profile Configuration des profils d'acquisition
From the options panel you can configure the default ingest profile. This is the same as normal \ref ingest_page "ingest module" configuration - choose a file filter then enable or disable the individual ingest modules, changing their settings if desired. Press "OK" to save your settings.
À partir du panneau d'options, vous pouvez configurer le profil d'acquisition par défaut. C'est la même chose que pour la configuration normale des \ref ingest_page "modules d'acquisition" - choisissez un filtre de fichier, puis activez ou désactivez les modules d'acquisition individuels, en modifiant leurs paramètres si vous le souhaitez. Appuyez sur "OK" pour enregistrer vos paramètres.
Currently custom ingest profiles can not be configured on the command line ingest options panel but they can be created through the \ref ingest_page "ingest options panel" and then used on the command line. Here we've created an ingest profile that will only process image file types and will only run certain ingest modules.
Actuellement, les profils d'acquisition personnalisés ne peuvent pas être configurés dans le panneau d'options de l'acquisition en ligne de commande, mais ils peuvent être créés via le \ref ingest_page "panneau d'option Ingest" puis utilisés avec la ligne de commande. Ici, nous avons créé un profil d'acquisition qui ne traitera que les types de fichiers image et n'exécutera que certains modules d'acquisition.
\image html command_line_ingest_profile.png
See the section on \ref command_line_ds "running ingest" below for instructions on specifying an ingest profile on the command line.
Voir la section sur \ref command_line_ds "l'exécution des modules d'acquisition" ci-dessous pour obtenir des instructions sur la spécification d'un profil d'acquisition avec la ligne de commande.
\subsection command_line_report_profile Configuring Report Profiles
\subsection command_line_report_profile Configuration des profils de rapport
You can set up report profiles to use with command line ingest. You'll start with a "default" profile and can create additional profiles. Each profile will allow you to generate one type of report. Configuration is generally the same as normal \ref reporting_page "report generation" with some slight differences. This is mainly seen in places where your options are dependent on the open case, such as choosing \ref tagging_page "tags" to report on or \ref interesting_files_identifier_page "interesting file" set names to include. For example, the HTML report normally allows you to choose specific tags to include but for command line ingest it will only have the option to include all tags.
Vous pouvez configurer des profils de rapport à utiliser avec l'acquisition en ligne de commande. Vous commencerez avec un profil "default" et pourrez créer des profils supplémentaires. Chaque profil vous permettra de générer un type de rapport. La configuration est généralement la même que la \ref reporting_page "génération de rapports" normale avec quelques légères différences. Cela se voit principalement lorsque vos options dépendent du cas ouvert, comme le choix des \ref tagging_page "marquages" à intégrer au rapport ou les définitions des noms de \ref interesting_files_identifier_page "fichiers intéressants" à inclure. Par exemple, le rapport HTML vous permet normalement de choisir des balises spécifiques à inclure, mais pour l'acquisition en ligne de commande, il n'y aura que la possibilité d'inclure toutes les balises.
If you wish to create additional report profiles, select "Make new profile" in the drop-down menu and then click the "Configure" button. You'll be prompted to name your new report profile and then will go through the normal report configuration. Having multiple report profiles will allow you to easily generate different report types from the command line. For example, you might have an "htmlReport" report profile that creates the HTML report and another report profile to generate KML reports. See the \ref command_line_report "report generation" section below for directions on how to specifiy a report profile on the command line.
Si vous souhaitez créer des profils de rapport supplémentaires, sélectionnez "Make new profile" dans le menu déroulant puis cliquez sur le bouton "Configure". Vous serez invité à nommer votre nouveau profil de rapport, puis vous passerez par la configuration de rapport normale. Avoir plusieurs profils de rapport vous permettra de générer facilement différents types de rapport à partir de la ligne de commande. Par exemple, vous pouvez avoir un profil de rapport "htmlReport" qui cré les rapports HTML et un autre profil de rapport pour générer des rapports KML. Voir la section \ref command_line_report "génération de rapports" ci-dessous pour savoir comment spécifier un profil de rapport en ligne de commande.
\section command_line_ingest_commands Command Options
\section command_line_ingest_commands Options de commande
In a command prompt, navigate to the Autopsy bin folder. This is normally located at "C:\Program Files\Autopsy-version\bin".
Dans une invite de commande, accédez au dossier "bin" d'Autopsy. Celui-ci est normalement situé à "C:\Program Files\Autopsy-version\bin".
\image html command_line_ingest_bin_dir.png
The table below shows a summary of the command line operations. You can run one or more at a time, though you must always either create a case or open an existing case.
Le tableau ci-dessous présente un résumé des opérations en ligne de commande. Vous pouvez en exécuter une ou plusieurs à la fois, mais vous devez toujours créer un cas ou ouvrir un cas existant.
<br>
<table>
<tr><th>Operation</th><th>Command(s)</th><th>Parameter(s)</th><th>Example</th></tr>
<tr><td><b>Create New Case</b><td><pre>--createCase</pre></td><td><pre>--caseName
<tr><th>Opération</th><th>Commande(s)</th><th>Paramètre(s)</th><th>Exemple</th></tr>
<tr><td><b>Créer un nouveau cas</b><td><pre>--createCase</pre></td><td><pre>--caseName
--caseBaseDir
--caseType (optional)</pre></td><td><pre>--createCase --caseName="test5" --caseBaseDir="C:\work\cases"
--caseType (facultatif)</pre></td><td><pre>--createCase --caseName="test5" --caseBaseDir="C:\work\cases"
--createCase --caseName="test_multi" --caseBaseDir="\\WIN-2913\work\cases" --caseType="multi"</pre></td></tr>
<tr><td><b>Open Existing Case</b></td><td>&nbsp;</td><td><pre>--caseDir</pre></td><td><pre>--caseDir="C:\work\Cases\test5_2019_09_20_11_01_29"</pre></td></tr>
<tr><td><b>Ouvrir un cas existant</b></td><td>&nbsp;</td><td><pre>--caseDir</pre></td><td><pre>--caseDir="C:\work\Cases\test5_2019_09_20_11_01_29"</pre></td></tr>
<tr><td><b>Add a Data Source</b></td><td><pre>--addDataSource
--runIngest (optional)
--runIngest=(ingest profile name) (optional)</pre></td><td><pre>--dataSourcePath</pre></td><td><pre>--addDataSource --dataSourcePath="R:\work\images\small2.img" --runIngest</pre></td></tr>
<tr><td><b>Ajouter une source de données</b></td><td><pre>--addDataSource
--runIngest (facultatif)
--runIngest=(nom du profil d'acquisition) (facultatif)</pre></td><td><pre>--dataSourcePath</pre></td><td><pre>--addDataSource --dataSourcePath="R:\work\images\small2.img" --runIngest</pre></td></tr>
<tr><td><b>Run Ingest on Existing Data Source</b><td><pre>--runIngest
--runIngest=(ingest profile name)</pre></td><td><pre>--dataSourceObjectId</pre></td><td><pre>--runIngest --dataSourceObjectId=1
<tr><td><b>Exécuter l'acquisition sur une source de données existante</b><td><pre>--runIngest
--runIngest=(nom du profil d'acquisition)</pre></td><td><pre>--dataSourceObjectId</pre></td><td><pre>--runIngest --dataSourceObjectId=1
--runIngest="imageAnalysis" --dataSourceObjectId=1</pre></td></tr>
<tr><td><b>Generate Reports</b></td><td><pre>--generateReports
--generateReports=(report profile name)</pre></td><td>&nbsp;</td><td><pre>--generateReports
<tr><td><b>Générer des rapports</b></td><td><pre>--generateReports
--generateReports=(nom du profil de rapport)</pre></td><td>&nbsp;</td><td><pre>--generateReports
--generateReports="kmlReport"</pre></td></tr>
<tr><td><b>Create List of Data Sources</b></td><td><pre>--listAllDataSources</pre></td><td>&nbsp;</td><td></td><pre>--listAllDataSources</pre></tr>
<tr><td><b>Créer une liste de sources de données</b></td><td><pre>--listAllDataSources</pre></td><td>&nbsp;</td><td></td><pre>--listAllDataSources</pre></tr>
</table>
More details on each operation along with additional examples are given below.
Plus de détails sur chaque opération ainsi que des exemples supplémentaires sont donnés ci-dessous.
\subsection command_line_cases Creating and Opening Cases
\subsection command_line_cases Création et ouverture de cas
You will always need to either create a case or give the path to an existing case. When creating a case, the current timestamp will be added to the case name. For example, running this command:
Vous devrez toujours créer un cas ou donner le chemin vers un cas existant. Lors de la création d'un cas, l'horodatage actuel sera ajouté au nom du cas. Par exemple, exécutez cette commande:
\verbatim
autopsy64.exe --createCase --caseName="test5" --caseBaseDir="C:\work\cases"
\endverbatim
could create a case folder "test5_2019_09_20_11_01_29". Note that even though a timestamp is added to the name, the --caseName field must be unique for each run.
pourrait créer un dossier de cas "test5_2019_09_20_11_01_29". Notez que même si un horodatage est ajouté au nom, le champ --caseName doit être unique pour chaque exécution.
\image html command_line_ingest_case_folder.png
By default all cases will be single user. If you would like to create a multi-user case you'll need the -caseType field. You should also use the network path to your case folder so the services can access it:
Par défaut, tous les cas seront mono-utilisateur. Si vous souhaitez créer un cas multi-utilisateur, vous aurez besoin du champ --caseType. Vous devez également utiliser le chemin d'accès réseau de votre dossier de cas afin que les services puissent y accéder:
\verbatim
autopsy64.exe --createCase --caseName="test_multi" --caseBaseDir="\\WIN-2913\work\cases" --caseType="multi"
\endverbatim
Once a case is created you will need to use the full path to the case instead of the case name and base folder. For example, if we created the empty case "test5" as above, we could use the following command to add a data source to it:
Une fois qu'un cas est créé, vous devrez utiliser le chemin d'accès complet au cas au lieu du nom du cas et du dossier de base. Par exemple, si nous avons créé le cas vide "test5" comme ci-dessus, nous pourrions utiliser la commande suivante pour y ajouter une source de données:
\verbatim
autopsy64.exe --caseDir="C:\work\Cases\test5_2019_09_20_11_01_29" --addDataSource
--dataSourcePath="R:\work\images\small2.img"
\endverbatim
The case type (single or multi-user) does not have to be specified when opening a case.
Le type de dossier (mono ou multi-utilisateur) n'a pas à être spécifié lors de l'ouverture d'un cas.
\subsection command_line_ds Adding a New Data Source and Running Ingest
\subsection command_line_ds Ajout d'une nouvelle source de données et exécution de l'acquisition
You can add a data source to a new case or an existing case using the --addDataSource option and then giving the path to the data source. If you use the --runIngest option, the ingest modules you selected in the \ref command_line_ingest_config "configuration step" will be run on the data source. Both \ref ds_img "disk images" and \ref ds_log "logical files" are supported. You can only add one data source at a time.
Vous pouvez ajouter une source de données à un nouveau cas ou un cas existant à l'aide de l'option --addDataSource, puis en indiquant le chemin d'accès à la source de données. Si vous utilisez l'option --runIngest, les modules d'acquisition que vous avez sélectionnés dans l'\ref command_line_ingest_config "étape de configuration" seront exécutés sur la source de données. Les \ref ds_img "images disque" et les \ref ds_log "fichiers logiques" sont pris en charge. Vous ne pouvez ajouter qu'une seule source de données à la fois.
In this example, we'll create a new case named "test6" and add the data source "blue_images.img".
Dans cet exemple, nous allons créer un nouveau cas nommé "test6" et ajouter la source de données "blue_images.img".
\verbatim
autopsy64.exe --createCase --caseName="test6" --caseBaseDir="C:\work\cases" --addDataSource
--dataSourcePath="R:\work\images\blue_images.img"
\endverbatim
And here we'll add another data source ("green_images.img") to the case we just made and run ingest on it. Note that ingest will only run on the new data source ("green_images.img"), not the one already in the case ("blue_images.img").
Et ici, nous allons ajouter une autre source de données ("green_images.img") au cas que nous venons de créer et exécuter une acquisition dessus. Notez que l'acquisition ne s'exécutera que sur la nouvelle source de données ("green_images.img"), pas sur celle déjà présente dans le cas ("blue_images.img").
\verbatim
autopsy64.exe --caseDir="C:\work\cases\test6_2019_09_20_13_00_51" --addDataSource --runIngest
--dataSourcePath="R:\work\images\green_images.img"
\endverbatim
Next we'll add a third data source ("red_images.img") to the case and run ingest using a custom ingest profile "imageAnalysis" created as described in the \ref command_line_ingest_profile "Configuring Ingest Profiles" section above.
Ensuite, nous allons ajouter une troisième source de données ("red_images.img") au cas et exécuter l'acquisition à l'aide d'un profil d'acquisition personnalisé "imageAnalysis" créé comme décrit dans la section \ref command_line_ingest_profile "Configuration des profils d'acquisition" ci-dessus.
\verbatim
autopsy64.exe --caseDir="C:\work\cases\test6_2019_09_20_13_00_51" --addDataSource --runIngest="imageAnalysis"
--dataSourcePath="R:\work\images\red_images.img"
\endverbatim
Finally we'll add a folder ("Test files") as a logical file set to a new case ("test9").
Enfin, nous ajouterons un dossier ("Test files") en tant que fichier logique défini dans un nouveau cas ("test9").
\verbatim
autopsy64.exe --createCase --caseName="test9" --caseBaseDir="C:\work\Cases" --addDataSource
--dataSourcePath="R:\work\images\Test files" --runIngest
\endverbatim
\subsection command_line_existing_ds Running Ingest on an Existing Data Source
\subsection command_line_existing_ds Exécution de l'acquisition sur une source de données existante
You can run ingest on a data source already in the case if you know its object ID. To find this, go to the case folder and open the "Command Output" folder.
Vous pouvez exécuter l'acquisition sur une source de données déjà dans le cas si vous connaissez son identifiant ("Object ID"). Pour le trouver, allez dans le dossier du cas et ouvrez le dossier "Command Output".
\image html command_line_ingest_output_folder.png
If you've run with the --listAllDataSources option, there will be at least one file starting "listAllDataSources". Open the most recent one - the format will be similar to this:
Si vous avez l'exécutée avec l'option --listAllDataSources, il y aura au moins un fichier commençant par "listAllDataSources". Ouvrez le plus récent - le format sera similaire à celui-ci:
\verbatim
{
@ -142,66 +142,66 @@ If you've run with the --listAllDataSources option, there will be at least one f
}
\endverbatim
You can also look through the addDataSource files to find the one corresponding to the file you want to ingest. The format will be the same. Once you know the data source object ID, you can use the --dataSourceObjectId option to specify it. For example, this will run ingest on "blue_images.img":
Vous pouvez également parcourir les fichiers addDataSource pour trouver celui correspondant au fichier que vous souhaitez acquérir. Le format sera le même. Une fois que vous connaissez l'identifiant de la source de données, vous pouvez utiliser l'option --dataSourceObjectId pour le spécifier. Par exemple, ceci exécutera l'acquisition sur "blue_images.img":
\verbatim
autopsy64.exe --caseDir="C:\work\cases\test6_2019_09_20_13_00_51" --runIngest --dataSourceObjectId=1
\endverbatim
\subsection command_line_report Generating Reports
\subsection command_line_report Générer des rapports
You can generate a report on the case using the --generateReports option. You can select which report type to export through the Autopsy options panel (see the \ref command_line_ingest_config "configuration section"). This option can be run alone or at the same time as you're processing a data source. In this example we're adding a new data source ("small2.img") and generating a report.
Vous pouvez générer un rapport sur le cas à l'aide de l'option --generateReports. Vous pouvez sélectionner le type de rapport à exporter via le panneau d'options d'Autopsy (voir la section \ref command_line_ingest_config "configuration"). Cette option peut être exécutée seule ou en même temps que vous traitez une source de données. Dans cet exemple, nous ajoutons une nouvelle source de données ("small2.img") et générons un rapport.
\verbatim
autopsy64.exe --caseDir="C:\work\cases\test6_2019_09_20_13_00_51" --addDataSource
--dataSourcePath="R:\work\images\small2.img" --runIngest --generateReports
\endverbatim
The example above uses the default report profile. If you set up a custom report profile as described in the \ref command_line_report_profile "Configuring Ingest Profiles section" above, you can specify that profile after the --generateReports option.
L'exemple ci-dessus utilise le profil de rapport par défaut. Si vous configurez un profil de rapport personnalisé comme décrit dans la section \ref command_line_report_profile "Configuration des profils d'acquisition" ci-dessus, vous pouvez spécifier ce profil après l'option --generateReports.
\verbatim
autopsy64.exe --caseDir="C:\work\cases\test6_2019_09_20_13_00_51" --generateReports="html"
\endverbatim
\subsection command_line_listds Listing All Data Sources
\subsection command_line_listds Liste de toutes les sources de données
You can add the --listAllDataSources at any time to output a list of all data sources currently in the case along with their object IDs, to be used when \ref command_line_existing_ds "running on an existing data source". This command can even be run alone with just the path to the case.
Vous pouvez ajouter --listAllDataSources à tout moment pour afficher une liste de toutes les sources de données actuellement dans le cas avec leurs identifiants, à utiliser lors de l'\ref command_line_existing_ds "exécution de l'acquisition sur une source de données existante". Cette commande peut même être exécutée seule avec uniquement le chemin d'accès au cas.
\verbatim
autopsy64.exe --caseDir="C:\work\cases\test6_2019_09_20_13_00_51" --listAllDataSources
\endverbatim
\section command_line_ingest_run Running Autopsy
\section command_line_ingest_run Exécution d'Autopsy
Once you determine which parameters you need, it's time to run Autopsy. In the example below we're creating a new case ("xpCase"), adding a data source to it ("xp-sp3-v4.001"), running ingest and generating a report. The report type was \ref command_line_ingest_config "configured" earlier to be an HTML report.
Une fois que vous avez déterminé les paramètres dont vous avez besoin, il est temps d'exécuter Autopsy. Dans l'exemple ci-dessous, nous créons un nouveau cas ("xpCase"), en y ajoutant une source de données ("xp-sp3-v4.001"), en exécutant l'acquisition et en générant un rapport. Le type de rapport était \ref command_line_ingest_config "configuré" précédemment pour être un rapport HTML.
\image html command_line_ingest_command_entry.png
If you've entered everything correctly, Autopsy will load and you'll see this dialog in the middle of the screen:
Si vous avez tout saisi correctement, Autopsy se chargera et vous verrez cette boîte de dialogue au milieu de l'écran:
\image html command_line_ingest_dialog.png
If you entered something incorrectly you will likely see an error in the output. You'll want to compare what you ran with the descriptions and examples above to try to fix the error.
Si vous avez entré quelque chose de manière incorrecte, vous verrez probablement une erreur dans la sortie. Vous pourrez comparer ce que vous avez exécuté avec les descriptions et exemples ci-dessus pour essayer de corriger l'erreur.
If everything works correctly, you'll see a log of the processing being done and Autopsy will close when finished.
Si tout fonctionne correctement, vous verrez un journal du traitement en cours et Autopsy se fermera une fois terminé.
\image html command_line_ingest_console_output.png
\section command_line_ingest_results Viewing Results
\section command_line_ingest_results Affichage des résultats
You can open the case you created directly from the command line by specifying either the case folder or the path to the ".aut" file. Remember that the folder name will have a timestamp appended to your case name.
Vous pouvez ouvrir le cas que vous avez créé directement à partir de la ligne de commande en spécifiant soit le dossier du cas, soit le chemin d'accès au fichier ".aut". N'oubliez pas que le dossier sera nommé avec l'horodatage ajouté au nom de votre cas.
\verbatim
autopsy64.exe "C:\work\cases\xpCase_2019_09_20_14_39_25"
autopsy64.exe "C:\work\cases\xpCase_2019_09_20_14_39_25\xpCase.aut"
\endverbatim
You can also open the case normally through Autopsy. Simply go to "Open Case" and then browse to the output folder you set up in the \ref command_line_ingest_config section and look for the folder starting with your case name. It will have a timestamp appended to the name you specified.
Vous pouvez également ouvrir le cas normalement via Autopsy. Allez simplement dans "Open Case", puis accédez au dossier de sortie que vous avez configuré dans la section \ref command_line_ingest_config et recherchez le dossier commençant par le nom de votre cas. Il sera nommé avec l'horodatage ajouté au nom que vous avez spécifié.
\image html command_line_ingest_open_case.png
If you are only interested in the reports then you don't need to open Autopsy. You can just browse to the "Reports" folder in the case and access the reports directly.
Si vous n'êtes intéressé que par les rapports, vous n'avez pas besoin d'ouvrir Autopsy. Vous pouvez simplement parcourir le dossier "Reports" dans le répertoire du cas et accéder directement aux rapports.
\image html command_line_ingest_report.png

54
docs/doxygen-user_fr/common_files.dox
View File

@ -1,71 +1,71 @@
/*! \page common_properties_page Common Properties Search
/*! \page common_properties_page Recherche de propriétés communes
[TOC]
\section common_properties_overview Overview
\section common_properties_overview Aperçu
The Common Properties Search feature allows you to search for multiple copies of a property within the current case or within the \ref central_repo_page.
La fonction de recherche de propriétés communes vous permet de rechercher plusieurs copies d'une propriété dans le cas actuel ou dans le \ref central_repo_page.
To start a search, go to Tools->Find Common Properties to bring up the main dialog. Searching requires at least one of the following to be true:
Pour lancer une recherche, accédez à Tools->Find Common Properties pour afficher la boîte de dialogue principale. La recherche nécessite au moins l'une des conditions suivantes pour aboutir:
<ul>
<li> The current case has more than one data source
<li> The Central Repository contains at least two cases
<li> Le cas actuel a plus d'une source de données
<li> Le référentiel central contient au moins deux cas
</ul>
If both conditions are false, then the menu item will be disabled. If only one is false then part of the search dialog will be disabled.
S'il n'existe aucune de ces deux conditions, l'élément de menu sera désactivé. Si une seul n'est pas remplie, une partie de la boîte de dialogue de recherche sera désactivée.
\section common_properties_search_types Common Properties Search Scope
\section common_properties_search_types Portée de la recherche de propriétés communes
Different parameters are needed for setting up the two types of searches. These will be described below.
Différents paramètres sont nécessaires pour configurer les deux types de recherche. Ceux-ci seront décrits ci-dessous.
\subsection common_properties_intra_case Scope - between data sources in the current case
\subsection common_properties_intra_case Portée "Between data sources in the current case" (entre les sources de données dans le cas actuel)
This type of search looks for files that are in multiple data sources within the current case. It does not require the Central Repository to be enabled, and currently only searches for common files. You must run the \ref hash_db_page to compute MD5 hashes on each data source prior to performing the search. The search results will not include any files that have been marked as "known" by the hash module (ex: files that are in the NSRL).
Ce type de recherche analyse les fichiers qui se trouvent dans plusieurs sources de données dans le cas actuel. Il ne nécessite pas l'activation du référentiel central et ne recherche actuellement que les fichiers communs. Vous devez exécuter le module \ref hash_db_page pour calculer les hachages MD5 sur chaque source de données avant d'effectuer cette recherche. Les résultats de la recherche n'incluront aucun fichier marqué comme "known" (connus) par le module de hachage (ex: fichiers qui sont dans le NSRL).
\image html common_properties_intra_case.png
By default, the search will find matching files in any data sources. If desired, you can change the search to only show matches where one of the files is in a certain data source by selecting it from the list:
Par défaut, la recherche trouvera les fichiers correspondants dans toutes les sources de données. Si vous le souhaitez, vous pouvez modifier cette recherche pour n'afficher que les correspondances où l'un des fichiers se trouve dans une certaine source de données en la sélectionnant dans la liste:
\image html common_properties_select_ds.png
You can also choose to show any type of matching files or restrict the search to pictures and videos and/or documents.
Vous pouvez également choisir d'afficher n'importe quel type de fichiers correspondants ou restreindre la recherche aux images et vidéos et/ou documents.
Finally, if you have the Central Repository enabled you can choose to hide matches that appear with a high frequency in the Central Repository.
Enfin, si le référentiel central est activé, vous pouvez choisir de masquer les correspondances qui apparaissent avec une fréquence élevée dans le référentiel central.
\subsection common_properties_central_repo Scope - between current case and cases in the Central Repository
\subsection common_properties_central_repo Portée "Between current case and cases in the Central Repository" (entre le cas actuel et les cas dans le référentiel central)
This type of search looks for files that contain common properties between the current case and other cases in the Central Repository. You must run the Central Repository ingest module on each case with the property you want to search for enabled, along with the ingest modules that produce that property type (see \ref cr_manage_properties).
Ce type de recherche analyse les fichiers contenant des propriétés communes entre le cas actuel et les autres cas dans le référentiel central. Vous devez exécuter le module d'acquisition "Central Repository" sur chaque cas en ayant activé la propriété que vous souhaitez rechercher, ainsi que les modules d'acquisition qui produisent ce type de propriété (voir la \ref cr_manage_properties "gestion des propriétés de corrélation").
\image html common_properties_cr.png
You can restrict the search to only include results where at least one of the matches was in a specific case.
Vous pouvez restreindre la recherche pour inclure uniquement les résultats où au moins une des correspondances était dans un cas spécifique.
\image html common_properties_cr_case_select.png
In the example above, any matching properties would have to exist in the current case and in Case 2. Note that matches in other cases will also be included in the results, as long as the property exists in the current case and selected case.
Dans l'exemple ci-dessus, toutes les propriétés correspondantes devraient exister dans le cas actuel et dans le cas 2. Notez que les correspondances dans d'autres cas seront également incluses dans les résultats, tant que la propriété existe dans le cas actuel et le cas sélectionné.
You can select the type of property to search for in the menu below:
Vous pouvez sélectionner le type de propriété à rechercher dans le menu ci-dessous:
\image html common_properties_cr_property.png
Restricting a file search to only return images or documents is currently disabled.
La restriction d'une recherche de fichier pour ne renvoyer que des images ou des documents est actuellement désactivée.
You can choose to hide matches that appear with a high frequency in the Central Repository. Finally you can choose how to display the results, which will be described below.
Vous pouvez choisir de masquer les correspondances qui apparaissent avec une fréquence élevée dans le référentiel central. Enfin, vous pouvez choisir comment afficher les résultats, ce qui sera décrit ci-dessous.
\section common_properties_results Search Results
\section common_properties_results Résultats de recherche
Each search displays its results in a new tab. The title of the tab will include the search parameters.
Chaque recherche affiche ses résultats dans un nouvel onglet. Le titre de l'onglet inclura les paramètres de recherche.
\subsection common_properties_sort_by_count Sort by number of data sources
\subsection common_properties_sort_by_count Trier par nombre de sources de données
\image html common_properties_result.png
This is how all results from searches within the current case are displayed, and an option for displaying the results of a search between the current case and the Central Repository. The top tree level of the results shows the number of matching properties. The results are grouped by how many matching properties were found and then grouped by the property itself.
C'est ainsi que sont affichés tous les résultats des recherches dans le cas actuel, avec une option pour afficher les résultats d'une recherche entre le cas actuel et le référentiel central. Le niveau supérieur de l'arborescence des résultats indique le nombre de propriétés correspondantes. Les résultats sont regroupés en fonction du nombre de propriétés correspondantes trouvées, puis regroupés en fonction de la propriété elle-même.
\subsection common_properties_sort_by_case Sort by case
\subsection common_properties_sort_by_case Trier par cas
This option is only available when searching between the current case and the Central Repository. The top level shows each case with matching properties, then you can select which data source to view. Every matching property will be displayed under the data source.
Cette option n'est disponible que lors d'une recherche entre le cas actuel et le référentiel central. Le niveau supérieur montre chaque cas avec des propriétés correspondantes, puis vous pouvez sélectionner la source de données à afficher. Chaque propriété correspondante sera affichée sous la source de données.
\image html common_properties_result_case_sort.png