Documentation utilisateur Autopsy  4.19.0
Plateforme de criminalistique numérique graphique pour The Sleuth Kit et autres outils.
Dépannage

Table des matières

Si vous rencontrez une erreur, nous vous encourageons à publier sur le forum (https://sleuthkit.discourse.group/), en précisant autant d'informations que possible:

Problèmes spécifiques

Taille de police trop petite

Sous Windows, vous pouvez apporter les modifications suivantes s'il est difficile de naviguer dans l'application dans les systèmes à haute résolution d'écran:

  1. Faites un clic droit sur l'icône de l'application sur votre bureau, menu Démarrer, etc...
  2. Choisissez Propriétés.
  3. Accédez à l'onglet Compatibilité.
  4. Cliquez sur le bouton "Modifier les paramètres PPP élevés".
  5. Sélectionnez "Remplacer le comportement de mise à l'échelle PPP élevé".
  6. Modifiez dans la liste déroulante "Mise à l'échelle effectuée par:" sur "Système".
  7. Redémarrez Autopsy.

Sous Linux, vous pouvez fournir la taille de la police avec l'argument de ligne de commande "--fontsize XX", mais toutes les boîtes de dialogue ne répondent pas correctement et une partie du texte risque d'être coupée.

Dépannage général

Réinitialiser l'interface utilisateur

Si la fenêtre d'Autopsy ne ressemble plus à la fenêtre par défaut : Dispositions de l'interface utilisateur (par exemple, si une visionneuse a disparu ou s'il y a un espace vide étrange), vous pouvez la réinitialiser. Pour ce faire, allez dans Window->Reset Windows. Cela entraînera le redémarrage d'Autopsy. Si vous avez un cas ouvert, il se rouvrira après la réinitialisation.

reset_windows.png

Si la réinitialisation des fenêtres ne résout pas le problème, vous devrez peut-être supprimer votre dossier utilisateur comme décrit dans la section suivante.

Suppression du dossier utilisateur Autopsy

Si Autopsy commence à se comporter de manière étrange, arrête complètement de se charger ou si des éléments de menu disparaissent, vous devrez probablement supprimer votre dossier utilisateur. Cela entrainera essentiellement une nouvelle installation. Sous Windows, le dossier utilisateur se trouve dans "C:\Users\(nom d'utilisateur)\AppData\Roaming\autopsy". Notez que si vous supprimez ce dossier, vous perdrez tous vos paramètres d'Autopsy, y compris les listes de mots clés, les ensembles de fichiers intéressants et la configuration générale. Si vous souhaitez conserver ces paramètres, vous pouvez faire ce qui suit:

Vous pouvez également copier le nouveau dossier utilisateur quelque part, déplacer votre ancienne version et remplacer les dossiers jusqu'à ce qu'il fonctionne à nouveau.

Affichage des journaux (logs)

Les journaux sont généralement les plus utiles pour déterminer pourquoi une erreur s'est produite. Il existe deux ensembles de journaux: les journaux système et les journaux de cas. Il existe une option dans l'interface utilisateur pour ouvrir le dossier des journaux:

troubleshooting_log_menu.png

Si vous avez un cas ouvert, cliquez sur "Help" puis "Open Log Folder" pour ouvrir le dossier contenant les journaux de cas. Sinon, ce sera le dossier des journaux système qui s'ouvrira. Vous pouvez également accéder à ces dossiers de manière classique:

Dans les deux cas, le journal probablement le plus intéressante est "autopsy.log.0", bien qu'il puisse s'agir de l'une des anciennes versions si vous avez fermé et réouvert Autopsy depuis que l'erreur s'est produite. Vous rechercherez des entrées commençant par "SEVERE" et éventuellement "WARNING" s'il n'y a pas d'erreurs graves. Notez qu'il n'est pas inhabituel d'avoir de nombreux avertissements dans le journal. Voici un exemple d'erreur grave avec une trace de pile:

Sep 23, 2020 9:48:24 AM org.sleuthkit.autopsy.casemodule.services.TagNameDefinition saveToCase
SEVERE: Error saving tag name definition
org.sleuthkit.datamodel.TskCoreException: Error adding row for Follow Up tag name to tag_names table
        at org.sleuthkit.datamodel.SleuthkitCase.addOrUpdateTagName(SleuthkitCase.java:9846)
        at org.sleuthkit.autopsy.casemodule.services.TagNameDefinition.saveToCase(TagNameDefinition.java:239)
        at org.sleuthkit.autopsy.casemodule.services.TagsManager.<init>(TagsManager.java:288)
        at org.sleuthkit.autopsy.casemodule.services.Services.<init>(Services.java:50)
        at org.sleuthkit.autopsy.casemodule.Case.openCaseLevelServices(Case.java:2480)
        at org.sleuthkit.autopsy.casemodule.Case.open(Case.java:1993)
        at org.sleuthkit.autopsy.casemodule.Case.lambda$doOpenCaseAction$6(Case.java:1863)
        at java.util.concurrent.FutureTask.run(FutureTask.java:266)
        at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149)
        at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624)
        at java.lang.Thread.run(Thread.java:748)
Caused by: java.sql.SQLException: ResultSet closed
        at org.sqlite.core.CoreResultSet.checkOpen(CoreResultSet.java:76)
        at org.sqlite.jdbc3.JDBC3ResultSet.findColumn(JDBC3ResultSet.java:39)
        at org.sqlite.jdbc3.JDBC3ResultSet.getLong(JDBC3ResultSet.java:422)
        at com.mchange.v2.c3p0.impl.NewProxyResultSet.getLong(NewProxyResultSet.java:424)
        at org.sleuthkit.datamodel.SleuthkitCase.addOrUpdateTagName(SleuthkitCase.java:9843)
        ... 10 more

Si le message d'erreur ne vous aide pas à résoudre le problème vous-même, veuillez poster sur le forum y compris la trace de pile complète (si disponible).

Création d'une capture du thread d'activité

Vous pouvez également générer une capture du thread de l'état actuel. Ceci est utile si un module d'acquisition ou un autre processus semble être bloqué. Pour générer une capture de thread, allez sur "Help" puis "Thread Dump" dans l'interface utilisateur.

troubleshooting_thread.png

Vous verrez alors un fichier similaire à celui-ci dans une visionneuse de texte:

"Module-Actions" Id=222 RUNNABLE
        at sun.management.ThreadImpl.getThreadInfo1(Native Method)
        at sun.management.ThreadImpl.getThreadInfo(ThreadImpl.java:178)
        at org.sleuthkit.autopsy.actions.ThreadDumpAction$ThreadDumper.createThreadDump(ThreadDumpAction.java:120)
        at org.sleuthkit.autopsy.actions.ThreadDumpAction$ThreadDumper.doInBackground(ThreadDumpAction.java:91)
        at org.sleuthkit.autopsy.actions.ThreadDumpAction$ThreadDumper.doInBackground(ThreadDumpAction.java:87)
        at javax.swing.SwingWorker$1.call(SwingWorker.java:295)
        at java.util.concurrent.FutureTask.run(FutureTask.java:266)
        at javax.swing.SwingWorker.run(SwingWorker.java:334)
        ...


"IM-start-ingest-jobs-0" Id=218 WAITING on java.util.concurrent.locks.AbstractQueuedSynchronizer$ConditionObject@7ceb341e
        at sun.misc.Unsafe.park(Native Method)
        -  waiting on java.util.concurrent.locks.AbstractQueuedSynchronizer$ConditionObject@7ceb341e
        at java.util.concurrent.locks.LockSupport.park(LockSupport.java:175)
        at java.util.concurrent.locks.AbstractQueuedSynchronizer$ConditionObject.await(AbstractQueuedSynchronizer.java:2039)
        at java.util.concurrent.LinkedBlockingQueue.take(LinkedBlockingQueue.java:442)
        at java.util.concurrent.ThreadPoolExecutor.getTask(ThreadPoolExecutor.java:1074)
        at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1134)
        at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624)
        at java.lang.Thread.run(Thread.java:748)

Si la capture de thread indique quelque chose à propos d'un blocage, cela vous indiquera d'où vient le problème. Veuillez signaler tout blocage sur le forum. Même si cela ne vous semble pas être le cas, la capture de thread pourra vous aider à diagnostiquer votre problème, alors pensez à l'inclure dans votre message.


Copyright © 2012-2021 Basis Technology. Généré le Lundi 30 Août 2021
Cette documentation est sous licence Creative Commons Attribution-Share Alike 3.0 United States License.