ESET Log Collector 4.0 Инструкция по применению

  • Привет! Я прочитал руководство пользователя для ESET Log Collector. Это мощное средство для сбора системных журналов и данных конфигурации, упрощающее диагностику проблем. Я могу ответить на ваши вопросы о его возможностях, работе с различными профилями сбора, преобразовании журналов в другие форматы и использовании командной строки. Спрашивайте!
  • Как выбрать язык в ESET Log Collector?
    Какие типы журналов может собирать ESET Log Collector?
    Как ограничить возраст собираемых записей журналов?
    Можно ли преобразовать двоичные файлы журналов ESET в другие форматы?
ESET Log Collector
Руководство пользователя
Щелкните здесь, чтобы отобразить веб-версию этого документа (онлайн-справка)
©ESET, spol. s r.o., 2020
Программное обеспечение ESET Log Collector разработано компанией ESET, spol. s r.o.
Дополнительные сведения см. на веб-сайте www.eset.com.
Все права защищены. Запрещается воспроизведение, сохранение в информационных системах и передача
данного документа или любой его части в любой форме и любыми средствами, в том числе электронными,
механическими способами, посредством фотокопирования, записи, сканирования, а также любыми
другими способами без соответствующего письменного разрешения автора.
ESET, spol. s r.o. оставляет за собой право изменять любые программные продукты, описанные в данной
документации, без предварительного уведомления.
Служба поддержки клиентов: www.eset.com/support
Испр. 11.03.2020
1 Введение 1 .......................................................................................................................................................
1.1 Справка 2 .....................................................................................................................................................
2 Интерфейс пользователя ESET Log Collector 2 .......................................................................
2.1 Список артефактов/собираемые файлы 15 .........................................................................................
3 Командная строка ESET Log Collector 15 .....................................................................................
3.1 Доступные объекты сканирования 18 ...................................................................................................
4 Лицензионное соглашение с конечным пользователем 20 ...........................................
1
Введение
Приложение ESET Log Collector предназначено для сбора данных определенного типа, например сведений о
конфигурации и журналах интересующего компьютера, в целях упрощения сбора информации с
компьютера клиента для эффективного разрешения проблемных ситуаций специалистами службы
поддержки. С помощью предварительно заданного списка артефактов можно указать, какую именно
информацию необходимо собрать, а также можно задать максимальный возраст собираемых записей
журналов, формат собираемых журналов ESET и имя выходного ZIP-файла, который будет содержать все
собранные файлы и сведения. Если приложение ESET Log Collector запускается на компьютере, на котором
не установлен продукт по обеспечению безопасности ESET, возможен сбор только журналов событий
Windows и дампов запущенных процессов.
Приложение ESET Log Collector автоматически собирает выбранные сведения на вашем компьютере, что
помогает быстрее устранять ошибки в работе системы. Если в службе технической поддержки ESET
рассматривается ваше обращение, вас могут попросить предоставить журналы, созданные на вашем
компьютере. ESET Log Collector поможет вам быстрее собрать необходимую информацию.
Приложение ESET Log Collector содержит все языки в одном исполняемом файле. Поэтому после запуска
программы вы можете выбирать любой язык без необходимости загружать разные локализованные версии.
Язык, который должен использоваться, определяется автоматически либо указывается пользователем.
Предусмотрено два способа, с помощью которых пользователь может указать язык:
1. Воспользоваться аргументом командной строки /lang:<language_code>.
2. Переименовать файл в ESETLogCollector_<language_code>.exe.
Доступные значения языковых кодов: ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN,
CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR
ПРИМЕЧАНИЕ.
ESET Log Collector распространяется как 32-разрядное приложение. Чтобы обеспечить полноценную работу
приложения в 64-разрядной операционной системе, 64-разрядный исполняемый файл приложения ESET
Log Collector встроен как ресурс, который извлекается во временный каталог Temp и исполняется при
распознавании 64-разрядной системы.
Приложение ESET Log Collector может использоваться в двух режимах:
графический интерфейс пользователя;
интерфейс командной строки (начиная с версии 1.8). Если параметры командной строки не указаны,
приложение ESET Log Collector запускается в режиме графического интерфейса пользователя.
Когда приложение ESET Log Collector работает в режиме графического интерфейса, журналы
программного продукта ESET собираются в виде файлов с исходным двоичным кодом или файлов с
фильтрованным двоичным кодом (по умолчанию используется второй вариант). В случае экспорта
фильтрованного двоичного кода можно выбрать максимальный возраст экспортируемых записей.
Максимальное количество экспортируемых записей для одного файла журнала составляет 1 миллион.
ПРИМЕЧАНИЕ.
Дополнительная возможность, доступная в приложении ESET Log Collector: преобразование собранных
двоичных файлов журналов ESET (.dat) в формат XML или TXT. Однако, преобразовывать собранные
двоичные файлы журналов ESET можно только с помощью интерфейса командной строки ESET Log
Collector.
2
Справка
Чтобы открыть последнюю версию справки в Интернете, нажмите клавишу F1 или щелкните ?.
Интерфейс пользователя ESET Log Collector
Загрузив ESET Log Collector с веб-сайта ESET, запустите программу ESET Log Collector. После принятия
условий лицензионного соглашения с конечным пользователем откроется окно программы ESET Log
Collector. Если вы не принимаете условия лицензионного соглашения с конечным пользователем, нажмите
кнопку Отмена, и тогда окно программы ESET Log Collector не откроется.
Можно выбрать профиль сбора или создать свой собственный список артефактов. Профиль сбора
представляет собой заданный набор артефактов:
По умолчанию: профиль по умолчанию, в котором выбрано большинство артефактов. Он используется
для общих случаев, рассматриваемых службой поддержки. (Подробные сведения о списке выбранных
артефактов см. в разделе Список артефактов.)
Обнаружение угроз: многие артефакты совпадают с выбранными в профиле по умолчанию, но в
отличие от профиля по умолчанию в профиле «Обнаружение угроз» основное внимание уделяется сбору
артефактов, которые помогают службе поддержки в разрешении ситуаций, связанных с обнаружением
3
вредоносных программ. (Подробные сведения о списке выбранных артефактов см. в разделе Список
артефактов.)
Все: выбираются все доступные артефакты.
Нет: отменяет выбор всех артефактов и позволяет вам устанавливать соответствующие флажки для
журналов, записи которых необходимо собирать.
Пользовательский: программа автоматически переключается на этот профиль сбора, когда вносятся
изменения в ранее выбранный профиль и текущий набор выбранных артефактов не соответствует ни
одному из перечисленных выше профилей.
ПРИМЕЧАНИЕ.
Список отображаемых артефактов, которые можно собрать, изменяется в зависимости от обнаруженного
типа продукта по обеспечению безопасности ESET, установленного на вашем компьютере, и конфигурации
вашего компьютера, а также от другого программного обеспечения, например приложений Microsoft
Server. Доступны только соответствующие артефакты.
Выберите параметр Ограничение возраста журналов [дн.] и режим сбора журналов ESET (по умолчанию
выбран параметр Фильтрованный двоичный код).
Режим сбора журналов ESET:
Фильтрованный двоичный код: фильтрация записей выполняется по количеству дней, указанных в
параметре Ограничение возраста журналов [дн.]. Это означает, что будут собраны только записи за
последнее количество дней.
Исходный двоичный код с диска: двоичные файлы журналов ESET копируются без учета значения
параметра Ограничение возраста журналов [дн.], заданного для журналов ESET. Это означает, что
будут собраны все записи вне зависимости от их возраста. Однако ограничение возраста все же
действует в отношении журналов, не имеющих отношения к ESET — таких, как журналы событий
Windows, журналы Microsoft SharePoint и журналы IBM Domino.
Можно указать каталог, в котором необходимо сохранить заархивированные файлы, а затем нажать
кнопку Сохранить. Имя файла архива задано заранее. Нажмите кнопку Собрать. Работу приложения
можно прервать в любое время в процессе обработки: для этого нажмите ту же кнопку (во время
обработки название кнопки меняется на Отмена). Об успешности или сбое выполнения приложение
оповестит вас при помощи всплывающего окна. В случае сбоя на панели журнала отображаются
дополнительные сведения об ошибке.
Во время сбора информации можно просматривать сведения в окне журнала операции в нижней части
окна. Здесь отображаются сведения о том, какая операция выполняется в данный момент. Когда сбор
сведений завершится, отобразятся все собранные и заархивированные данные. Это означает, что сбор
завершился успешно и файл архива (например, emsx_logs.zip, ees_logs.zip или eea_logs.zip) сохранен в
указанном каталоге. (Подробные сведения см. в разделе Список артефактов.)
Список артефактов/собираемые файлы
В этом разделе описаны файлы, которые будут содержаться в итоговом .zip-файле. Описание поделено на
два подраздела на основании типа информации (файлы и артефакты).
Расположение/имя файла Описание
metadata.txt Содержит дату создания архива с расширением .zip, сведения о версии ESET
Log Collector, версии программного продукта ESET и основную информацию о
лицензии.
collector_log.txt Копия файла журнала из графического интерфейса пользователя, которая
содержит данные, полученные до момента создания файла с расширением
.zip.
4
Процессы Windows
Имя артефакта
Профиль сбора
Расположение/имя файла Описание
По
умолчанию
Обнаружение
угроз
Запущенные
процессы
(открытые
дескрипторы и
загруженные
библиотеки DLL)
Windows\Processes\Processes.txt Текстовый файл, в
котором содержится
список процессов,
запущенных на
компьютере. Для каждого
процесса указаны
следующие элементы:
oИдентификатор
процесса
oИдентификатор
родительского процесса
oКоличество потоков
oКоличество открытых
дескрипторов,
сгруппированных по типу
oЗагруженные модули
oУчетная запись
пользователя, от имени
которого запущен
процесс
oИспользование памяти
oОтметка о времени
начала
oВремя ядра и время
пользователя
oСтатистика ввода-
вывода
oКомандная строка
Запущенные
процессы
(открытые
дескрипторы и
загруженные
библиотеки DLL)
Windows\ProcessesTree.txt Текстовый файл, в
котором содержится
дерево запущенных на
компьютере процессов.
Для каждого процесса
указаны следующие
элементы:
oИдентификатор
процесса
oУчетная запись
пользователя, от имени
которой запущен процесс
oОтметка о времени
начала
oКомандная строка
Журналы Windows
Имя
артефакта
Профиль сбора
Расположение/имя файла Описание
По
умолчанию
Обнаружение
угроз
Журнал
событий
приложения
Windows\Logs\Application.xml Журналы событий приложения Windows в
пользовательском формате XML. Добавляются только
сообщения за последние 30 дней.
Системный
журнал
событий
Windows\Logs\System.xml Журналы событий системы Windows в
пользовательском формате XML. Добавляются только
сообщения за последние 30 дней.
5
Журналы Windows
Службы
терминалов —
журнал
операционных
событий LSM*
Windows\Logs\LocalSessionManager-Operational.evtx Журнал событий Windows, содержащий информацию
о сеансах RDP.
Журналы
установки
драйверов
Windows\Logs\catroot2_dberr.txt Здесь содержится информация о каталогах, которые
были добавлены в хранилище каталогов при
установке драйверов.
Журналы
SetupAPI*
Windows\Logs\SetupAPI\setupapi*.log Текстовые журналы установки устройств и
приложений.
Операционный
журнал
событий для
действий WMI
Windows\Logs\WMI-Activity.evtx Журнал событий Windows, содержащий данные
отслеживания действий WMI. Добавляются только
сообщения за последние 30 дней.
Журнал
событий
приложения
Windows\Logs\Application.evtx Файл журнала событий приложения Windows.
Добавляются только сообщения за последние 30 дней.
Системный
журнал
событий
Windows\Logs\System.evtx Файл журнала событий системы Windows.
Добавляются только сообщения за последние 30 дней.
Содержимое
раздела
реестра служб
Windows\Services.reg Включает в себя содержимое раздела реестра
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
Этот раздел может пригодиться в случае проблем с
драйверами.
* Windows Vista и более новые версии
Конфигурация системы
Имя артефакта
Профиль сбора
Расположение/имя
файла
Описание
По
умолчанию
Обнаружение
угроз
Сведения о дисках Windows/drives.txt Текстовый файл с
собранными данными о
дисках.
Сведения об
устройствах
Windows/devices/*.txt Несколько текстовых
файлов с собранными
данными о классах и
интерфейсах устройств.
Конфигурация сети Config\network.txt Текстовый файл с
собранными данными о
конфигурации сети.
(Результат выполнения
команды ipconfig /all)
Журнал ESET
SysInspector
Config\SysInspector.xml Журнал SysInspector в
формате XML.
Каталог LSP
Winsock
Config/WinsockLSP.txt Собирает выходные
данные команды «netsh
winsock show catalog».
Фильтры WFP* Config\WFPFilters.xml XML-файл с собранными
конфигурациями фильтров
WFP.
Все содержимое
реестра Windows
Windows\Registry\* Собранные двоичные
файлы с данными реестра
Windows.
Список файлов во
временных
каталогах
Windows\TmpDirs\*.txt Собранные текстовые
файлы с содержимым
временных каталогов
системного пользователя:
%windir%/temp, %TEMP% и
%TMP%.
6
Конфигурация системы
Запланированные
задачи Windows
Windows\Scheduled Tasks\*.* Полученные файлы xml,
содержащие все задачи
планировщика заданий
Windows. Эти файлы
помогают при
обнаружении вредоносных
программ, которые
используют уязвимости
планировщика заданий.
Поскольку файлы
расположены в подпапках,
выполняется получение
всей структуры папок.
Репозиторий WMI Windows\WMI Repository\*.* Полученные двоичные
файлы, содержащие
данные базы данных WMI
(мета-информацию,
определение и
статические данные
классов WMI). Эти файлы
могут быть полезны при
определении вредоносных
программ, которые
используют WMI для
устойчивости (например,
Turla). Поскольку файлы
WMI могут быть
расположены в подпапках,
выполняется получение
всей структуры папок.
Роли и функции
Windows Server
Windows\server_features.txt Текстовый файл,
содержащий дерево всех
компонентов Windows
Server. Каждый компонент
содержит следующую
информацию:
oСостояние установки
oЛокализованное имя
oКодовое имя
oСостояние (доступно для
Microsoft Windows Server
2012 и более новых
версий)
* Windows 7 и более новые версии
Установщик ESET
Имя артефакта
Профиль сбора
Расположение/имя
файла
Описание
По
умолчанию
Обнаружение
угроз
Журналы
установщика ESET
ESET\Installer\*.log Журналы установки,
создаваемые при установке
программ ESET NOD32
Antivirus и ESET Smart
Security 10 Premium.
7
Журналы ESET Remote Administrator применяются также к ESET Security Management Center.
ESET Security Management Center (ESMC) и ESET Remote Administrator (ERA)
Имя
артефакта
Профиль сбора
Расположение/имя файла Описание
По
умолчанию
Обнаружение
угроз
Журналы
ESMC/ERA
Server
ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip Создаются
журналы
серверной
программы в
архиве ZIP.
Сюда
включены
журналы
трассировки,
состояния и
последних
ошибок.
Журналы
агента
ESMC/ERA
ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip Создаются
журналы
программы
агента в ZIP-
архиве. Сюда
включены
журналы
трассировки,
состояния и
последних
ошибок.
Информация и
дампы
процессов
ESMC/ERA*
ERA\Server\Process and old
dump\RemoteAdministratorServerDiagnostic<datetime>.zip
Дампы
серверных
процессов.
Информация и
дампы
процессов
ESMC/ERA*
ERA\Agent\Process and old
dump\RemoteAdministratorAgentDiagnostic<datetime>.zip
Дампы
процессов
агента.
Конфигурация
ESMC/ERA
ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip Файлы,
содержащие
сведения о
конфигурации
сервера и
информацию о
приложении, в
формате
архива ZIP.
Конфигурация
ESMC/ERA
ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip Файлы,
содержащие
сведения о
конфигурации
агента и
информацию о
приложении, в
формате
архива ZIP.
Журналы
ESMC/ERA
Rogue
Detection
Sensor
ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip ZIP-файл,
содержащий
журнал
трассировки
RD Sensor,
журнал
последних
ошибок,
журнал
состояния,
файл
конфигурации,
дампы и
файлы общей
информации.
8
ESET Security Management Center (ESMC) и ESET Remote Administrator (ERA)
Журналы
ESMC/ERA
MDMCore
ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip ZIP-файл,
содержащий
журнал
трассировки
MDMCore,
журнал
последних
ошибок,
журнал
состояния,
дампы и
файлы общей
информации.
Журналы
прокси-сервера
ESMC/ERA
ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip ZIP-файл,
содержащий
журнал
трассировки
прокси-сервера
ERA, журнал
последних
ошибок,
журнал
состояния,
файл
конфигурации,
дампы и
файлы общей
информации.
База данных
агента
ESMC/ERA
ERA\Agent\Database\data.db Файл базы
данных агента
ESMC/ERA.
*ESMC/ERA Server или агент ESMC/ERA
Конфигурация ESET
Имя артефакта
Профиль сбора
Расположение/имя файла Описание
По
умолчанию
Обнаружение
угроз
Конфигурация
продукта ESET
info.xml Информационный XML-файл,
содержащий подробные
сведения об установленном
на компьютере
программном продукте
ESET. В нем содержится
основная информация о
системе, сведения об
установленном
программном продукте и
список модулей продукта.
Конфигурация
продукта ESET
versions.csv Экспорт выполняется в том
случае, если создание
файла info.xml завершилось
неудачей вне зависимости
от причины. Содержит
сведения об установленном
программном продукте.
9
Конфигурация ESET
Конфигурация
продукта ESET
features_state.txt Содержит список функций
продукта ESET и их
состояния (активны,
неактивны, не
интегрированы). Файл
собирается всегда и не
привязан ни к одному из
выбираемых артефактов.
Конфигурация
продукта ESET
Configuration\product_conf.xml Создается XML-файл,
содержащий сведения о
конфигурации
экспортируемого
программного продукта.
Список файлов в
каталоге
данных и
установки ESET
ESET\Config\data_dir_list.txt Создается текстовый файл,
содержащий список файлов
в каталоге ESET AppData и
всех его подкаталогах.
Список файлов в
каталоге
данных и
установки ESET
ESET\Config\install_dir_list.txt Создается текстовый файл,
содержащий список файлов
в каталоге ESET Install и всех
его подкаталогах.
Драйверы ESET ESET\Config\drivers.txt Выполняется сбор
информации об
установленных драйверах
ESET.
Конфигурация
персонального
файервола ESET
ESET\Config\EpfwUser.dat Копируется файл,
содержащий конфигурацию
персонального файервола
ESET.
Содержимое
раздела реестра
ESET
ESET\Config\ESET.reg Включает в себя
содержимое раздела
реестра
HKLM\SOFTWARE\ESET.
Каталог Winsock
LSP
Config/WinsockLSP.txt Собирает выходные данные
команды «netsh winsock
show catalog».
Последняя
примененная
политика
ESET\Config\lastPolicy.dat Политика, применяемая
решением ESMC/ERA.
Компоненты
ESET
ESET\Config\msi_features.txt Полученная информация о
доступных компонентах
установщика MSI продукта
ESET.
Диски Windows\volumes.txt Полученный текстовый
файл, содержащий
информацию о томах
дисков.
10
Карантин
Имя артефакта
Профиль сбора
Расположение/имя файла Описание
По
умолчанию
Обнаружение
угроз
Информация о
файлах на
карантине
ESET\Quarantine\quar_info.txt Создается текстовый
файл со списком
объектов, помещенных на
карантин.
Файлы,
помещенные на
карантин
ESET\Quarantine\<username> Выполняется сбор файлов
NDF и NQF из продукта по
обеспечению
безопасности ESET.
Журналы ESET
Имя артефакта
Профиль сбора
Расположение/имя файла Описание
По
умолчанию
Обнаружение
угроз
Журнал событий
ESET
ESET\Logs\Common\warnlog.dat Журнал событий
программного
продукта ESET в
двоичном
формате.
Журнал
обнаруженных
угроз (ESET)
ESET\Logs\Common\virlog.dat Журнал ESET
обнаруженных
угроз в двоичном
формате.
Журналы
сканирования
компьютера ESET
ESET\Logs\Common\eScan\*.dat Журнал(-ы) ESET
сканирования
компьютера в
двоичном
формате.
Журнал ESET
HIPS*
ESET\Logs\Common\hipslog.dat Журнал ESET
HIPS в двоичном
формате.
Журналы
родительского
контроля ESET*
ESET\Logs\Common\parentallog.dat Журнал
родительского
контроля ESET в
двоичном
формате.
Журнал
контроля
устройств ESET*
ESET\Logs\Common\devctrllog.dat Журнал
контроля
устройств ESET в
двоичном
формате.
Журнал защиты
веб-камеры
ESET*
ESET\Logs\Common\webcamlog.dat Журнал защиты
веб-камеры ESET
в двоичном
формате.
Журналы
сканирования
серверной базы
данных по
требованию
(ESET)
ESET\Logs\Common\ServerOnDemand\*.dat Журнал(-ы) ESET
сканирования
сервера по
требованию в
двоичном
формате.
11
Журналы ESET
Журналы ESET
сканирования
сервера Hyper-V
ESET\Logs\Common\HyperVOnDemand\*.dat Журнал(ы) ESET
сканирования
сервера Hyper-V
в двоичном
формате.
Журналы
сканирования MS
OneDrive
ESET\Logs\Common\O365OnDemand\*.dat Журнал(ы)
сканирования MS
OneDrive в
двоичном
формате.
Журнал
заблокированных
файлов ESET
ESET\Logs\Common\blocked.dat Журнал(ы)
заблокированных
файлов ESET в
двоичном
формате.
Журнал
отправленных
файлов ESET
ESET\Logs\Common\sent.dat Журнал(ы)
отправленных
файлов ESET в
двоичном
формате.
Журнал аудита
ESET
ESET\Logs\Common\audit.dat Журналы аудита
ESET в двоичном
формате.
* Этот параметр отображается, только если файл существует.
Сетевые журналы ESET
Имя артефакта
Профиль сбора
Расположение/имя файла Описание
По
умолчанию
Обнаружение
угроз
Журнал защиты
сети ESET*
ESET\Logs\Net\epfwlog.dat Журнал защиты сети
ESET в двоичном
формате.
Журнал
отфильтрованных
веб-сайтов (ESET)*
ESET\Logs\Net\urllog.dat Журнал ESET
отфильтрованных
веб-сайтов в
двоичном формате.
Журнал контроля
доступа в Интернет
ESET*
ESET\Logs\Net\webctllog.dat Журнал контроля
доступа в Интернет
ESET в двоичном
формате.
Журналы ESET pcap ESET\Logs\Net\EsetProxy*.pcapng Копируются журналы
ESET pcap.
* Этот параметр отображается, только если файл существует.
Диагностика ESET
Имя артефакта
Профиль сбора
Расположение/имя файла Описание
По
умолчанию
Обнаружение
угроз
12
Диагностика ESET
База данных
локального кэша
ESET\Diagnostics\local.db База данных
просканированных файлов
ESET.
Журналы общей
диагностики
программы
ESET\Diagnostics\*.* Файлы (мини-дампы) из
папки диагностики ESET.
Журналы
диагностики ECP
ESET\Diagnostics\ECP\*.xml Журналы диагностики
протокола передачи данных
ESET создаются при
проблемах с активацией
продукта или подключением
к серверам активации.
ESET Secure Authentication
Имя артефакта
Профиль сбора
Расположение/имя файла Описание
По
умолчанию
Обнаружение
угроз
Журналы ESA ESA\*.log Выполняется экспорт
журналов из программы ESET
Secure Authentication.
ESET Enterprise Inspector
Имя артефакта
Профиль сбора
Расположение/имя файла Описание
По
умолчанию
Обнаружение
угроз
Журналы сервера
EEI
EEI\Server\Logs\*.log Текстовые журналы
сервера.
Журналы агента
EEI
EEI\Agent\Logs\*.log Текстовые журналы
агента.
Конфигурация
сервера EEI
EEI\Server\eiserver.ini Файл .ini, содержащий
конфигурацию сервера.
Конфигурация
агента EEI
EEI\Agent\eiagent.ini Файл .ini, содержащий
конфигурацию агента.
Политика сервера
EEI
EEI\Server\eiserver.policy.ini Файл .ini, содержащий
политику сервера.
Политика агента
EEI
EEI\Agent\eiagent.policy.ini Файл .ini, содержащий
политику агента.
Сертификаты
сервера EEI
EEI\Server\Certificates\*.* Содержит файлы
сертификации,
используемые сервером.
Поскольку файлы
расположены в подпапках,
выполняется получение
всей структуры папок.
13
ESET Enterprise Inspector
Сертификаты
агента EEI
EEI\Agent\Certificates\*.* Содержит файлы
сертификации,
используемые агентом.
Поскольку файлы
расположены в подпапках,
выполняется получение
всей структуры папок.
Дампы сервера EEI EEI\Server\Diagnostics\*.* Файлы дампа сервера.
Конфигурация
сервера MySQL
EEI\My SQL\my.ini Файл .ini, содержащий
конфигурацию сервера
MySQL Server, который
используется продуктом
EEI Server.
Журналы сервера
MySQL
EEI\My SQL\EEI.err Текстовый журнал ошибок
сервера MySQL Server,
который используется
продуктом EEI Server.
Журналы электронной почты ESET (ESET Mail Security for Exchange, ESET Mail Security for Domino)
Имя артефакта
Профиль сбора
Расположение/имя файла Описание
По
умолчанию
Обнаружение
угроз
Журнал спама
(ESET)
ESET\Logs\Email\spamlog.dat Журнал спама
(ESET) в двоичном
формате.
Журнал защиты
SMTP ESET
ESET\Logs\Email\smtpprot.dat Журнал защиты
SMTP ESET в
двоичном
формате.
Журнал защиты
почтового
сервера ESET
ESET\Logs\Email\mailserver.dat Журнал защиты
почтового
сервера ESET в
двоичном
формате.
Журналы
диагностической
обработки
электронной
почты (ESET)
ESET\Logs\Email\MailServer\*.dat Журналы
диагностической
обработки
электронной
почты ESET в
двоичном
формате,
выполняется
копирование
прямо с диска.
Журнал спама
(ESET)*
ESET\Logs\Email\spamlog.dat Журнал спама
(ESET) в двоичном
формате.
Журналы
конфигурации и
диагностики
модуля защиты
от спама ESET
ESET\Logs\Email\Antispam\antispam.*.log Выполняется
копирование
журналов
конфигурации и
диагностики
модуля защиты от
спама ESET.
14
Журналы электронной почты ESET (ESET Mail Security for Exchange, ESET Mail Security for Domino)
Журналы
конфигурации и
диагностики
модуля защиты
от спама ESET
ESET\Config\Antispam\*.* Выполняется
копирование
журналов
конфигурации и
диагностики
модуля защиты от
спама ESET.
* Этот параметр отображается, только если файл существует.
Журналы ESET SharePoint (ESET Security for SharePoint)
Имя артефакта
Профиль сбора
Расположение/имя файла Описание
По
умолчанию
Обнаружение
угроз
ESET SHPIO.log ESET\Log\ESHP\SHPIO.log Журнал диагностики ESET из
служебной программы
SHPIO.exe.
Журналы определенных продуктов: эти параметры доступны для конкретных продуктов.
Domino (ESET Mail Security for Domino)
Имя артефакта
Профиль сбора
Расположение/имя файла Описание
По
умолчанию
Обнаружение
угроз
Журналы Domino
IBM_TECHNICAL_SUPPORT
и файл notes.ini
LotusDomino\Log\notes.ini Файл
конфигурации
IBM Domino.
Журналы Domino
IBM_TECHNICAL_SUPPORT
и файл notes.ini
LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.* Журналы IBM
Domino, не
старше 30
дней.
MS SharePoint (ESET Security for SharePoint)
Имя
артефакта
Профиль сбора
Расположение/имя
файла
Описание
По
умолчанию
Обнаружение
угроз
Журналы
MS
SharePoint
SharePoint\Logs\*.log Журналы MS SharePoint, не старше 30 дней.
Содержимое
раздела
реестра
SharePoint
SharePoint\WebServerExt.reg Включает в себя содержимое раздела реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
Tools\Web Server Extensions. Доступно только в
случае, если установлена программа ESET
Security for SharePoint.
MS Exchange (ESET Mail Security for Exchange)
15
MS Exchange (ESET Mail Security for Exchange)
Имя артефакта
Профиль сбора
Расположение/имя
файла
Описание
По
умолчанию
Обнаружение
угроз
Регистрация
агентов транспорта
MS Exchange
Exchange\agents.config Файл конфигурации
регистрации агентов
транспорта MS Exchange.
Для Microsoft Exchange
Server 2007 и более новых
версий.
Регистрация
агентов транспорта
MS Exchange
Exchange\sinks_list.txt Дамп регистрации
приемников событий MS
Exchange. Для Microsoft
Exchange Server 2000 и
2003.
Журналы веб-
служб MS Exchange
Exchange\EWS\*.log Сбор журналов веб-служб
Exchange Server.
Kerio Connect (ESET Security for Kerio)
Имя
артефакта
Профиль сбора
Расположение/имя файла Описание
По
умолчанию
Обнаружение
угроз
Конфигурация
Kerio Connect
Kerio\Connect\mailserver.cfg Файл
конфигурации
Kerio Connect.
Журналы
Kerio Connect
Kerio\Connect\Logs\{mail,error,security,debug,warning}.log Выбранные
файлы
журналов
Kerio Connect.
Kerio Control (ESET Security for Kerio)
Имя
артефакта
Профиль сбора
Расположение/имя файла Описание
По
умолчанию
Обнаружение
угроз
Конфигурация
Kerio Control
Kerio\Connect\winroute.cfg Файл
конфигурации
Kerio Control.
Журналы
Kerio Control
Kerio\Connect\Logs\{alert,error,security,debug,warning}.log Выбранные
файлы
журналов
Kerio Control.
Командная строка ESET Log Collector
Интерфейс командной строки представляет собой функцию, благодаря которой ESET Log Collector может
использоваться без графического интерфейса пользователя. Например, при установке Server Core или Nano
Server, а также если требуется использовать командную строку вместо графического интерфейса
пользователя. Кроме того, имеется доступная только в командной строке дополнительная функция,
которая преобразовывает двоичный файл журнала ESET в формат XML или текстовый файл.
Справка по командной строке: выполните start /wait ESETLogCollector_ENU.exe /?, чтобы
открыть справку по синтаксису. Также перечисляются доступные объекты сканирования (артефакты),
16
которые можно собрать. Содержимое списка зависит от типа обнаруженного продукта по обеспечению
безопасности ESET, установленного на компьютере, на котором выполняется ESET Log Collector. Доступны
только соответствующие артефакты.
ПРИМЕЧАНИЕ.
При выполнении любых команд рекомендуется использовать префикс start /wait, поскольку ESET Log
Collector — это в первую очередь средство с графическим интерфейсом, и интерпретатор (оболочка)
командной строки Windows не дожидается закрытия исполняемого файла, а вместо этого сразу же
возобновляет работу и отображает новую командную строку. При использовании префикса start /wait
оболочка Windows дожидается закрытия ESET Log Collector.
Если вы запускаете ESET Log Collector в первый раз, для использования ESET Log Collector вам нужно
принять условия лицензионного соглашения с конечным пользователем. Чтобы принять условия
лицензионного соглашения с конечным пользователем, запустите самую первую команду с параметром
/accepteula. Все последующие команды можно запускать без параметра /accepteula. Если вы решите
не принимать условия лицензионного соглашения с конечным пользователем и не добавите параметр
/accepteula, ваша команда не будет выполнена. Кроме того, параметр /accepteula нужно указать
первым параметром, например: start /wait ESETLogCollector_ENU.exe /accepteula /age:90
/otype:fbin /targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip
Использование
[start /wait] ESETLogCollector.exe [options] <out_zip_file>: собирает журналы в
соответствии с указанными параметрами и создает выходной файл ZIP-архива.
[start /wait] ESETLogCollector.exe /Bin2XML [/All] <eset_binary_log>
<output_xml_file>: преобразовывает собранный двоичный файл журнала ESET (.dat) в файл XML.
[start /wait] ESETLogCollector.exe /Bin2Txt [/All] <eset_binary_log>
<output_txt_file>: преобразовывает собранный двоичный файл журнала ESET (.dat) в текстовый файл.
Параметры
/Age:<days>: максимальный возраст собираемых записей журналов в днях. Укажите значение от 0 до
999, где 0 означает отсутствие ограничений. По умолчанию используется значение 30.
/OType:<xml|fbin|obin>: формат сбора журналов ESET:
xml: фильтрованный XML-код;
fbin: фильтрованный двоичный код (по умолчанию);
obin: исходный двоичный код с диска.
/All: также преобразовываются записи, помеченные как удаленные. Этот параметр применяется
только в случае преобразования собранного двоичного файла журнала ESET в формат XML или TXT.
/Targets:<id1>[,<id2>...]: список собираемых артефактов. Если параметр не задан, будет
собираться набор данных по умолчанию. Специальное значение «all» означает все объекты.
/NoTargets:<id1>[,<id2>...]: список артефактов, которые нужно пропустить. Этот список
применяется после списка объектов.
/Profile:<default|threat|all>: профиль сбора представляет собой заданный набор целевых
объектов:
Default: профиль используется для общих обращений в службу
поддержки.
Threat: профиль используется для обращений, связанных с
обнаружением угроз.
All: выбирает все доступные объекты сканирования.
17
ПРИМЕЧАНИЕ.
Если в качестве формата собираемых данных выбран вариант Фильтрованный XML-код или
Фильтрованный двоичный код, фильтрация означает, что будут собраны только записи за последнее
количество дней (указанное в параметре /Age:<days>). Если выбран вариант Исходный двоичный код
с диска, параметр /Age:<days> будет игнорироваться для всех журналов ESET. Для остальных журналов,
таких как журналы событий Windows, журналы Microsoft SharePoint или журналы IBM Domino, параметр
/Age:<days> будет применяться таким образом, что можно будет ограничить записи журналов, не
имеющих отношения к ESET, указанным количеством дней и настроить сбор (копирование) исходных
двоичных файлов ESET без ограничения по возрасту.
ПРИМЕЧАНИЕ.
Параметр /All позволяет преобразовывать все записи журналов, в том числе записи, которые были
удалены при помощи графического интерфейса пользователя, но присутствуют в файле c исходным
двоичным кодом с пометкой об удалении (записи журналов, недоступные в графическом интерфейсе
пользователя).
ПРИМЕР
В этом примере показана команда, которая изменяет язык на итальянский. Вы можете использовать
любой из доступных языков: ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS, CHT,
ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR
/lang: ITA
/