ESET Log Collector 4.2 Omaniku manuaal

Tüüp
Omaniku manuaal
ESET Log Collector
User guide
Click here to display the Online help version of this document
Copyright ©2021 by ESET, spol. s r. o.
ESET Log Collector was developed by ESET, spol. s r. o.
For more information visit www.eset.com.
All rights reserved. No part of this documentation may be reproduced, stored in a retrieval system or transmitted in
any form or by any means, electronic, mechanical, photocopying, recording, scanning, or otherwise without
permission in writing from the author.
ESET, spol. s r. o. reserves the right to change any of the described application software without prior notice.
Worldwide Customer Support: support.eset.com
REV. 20.5.2021
1 Johdanto 1 ..........................................................................................................................................................
1.1 Ohje 1 ............................................................................................................................................................
2 ESET Log Collector, käyttöliittymä 2 ..................................................................................................
2.1 Luettelo artefakteista / kerätyistä tiedostoista 12 ...............................................................................
3 ESET Log Collector, komentorivi 12 .....................................................................................................
3.1 Käytettävissä olevat kohteet 16 ..............................................................................................................
1
Johdanto
Sovellus ESET Log Collector kerää tiettyjä tietoja, kuten kiinnostavan koneen kokoonpanon ja lokit, ja nopeuttaa
tietojen keräämistä asiakkaan koneesta tukitapausta selvitettäessä. Voit määrittää kerättävät tiedot ennalta
määritetystä artifaktien luettelosta, kerättyjen lokitietueiden enimmäisiän, kerättyjen ESET-lokien muodon ja sen
ZIP-tulostiedoston nimen, joka sisältää kaikki kerätyt tiedostot ja tiedot. Jos ESET Log Collector suoritetaan
koneessa, johon ei ole asennettu ESET-tietoturvatuotetta, vain Windows-tapahtumalokeja ja käynnissä olevia
prosessivedoksia voi kerätä.
HUOMAUTUS
ESET Log Collector:llä on samat järjestelmävaatimukset kuin ESET-tietoturvatuotteella. ESET Log Collector toimii
kaikissa Microsoft Windows -käyttöjärjestelmän versioissa.
ESET Log Collector kerää valitut tiedot automaattisesti järjestelmästä, jotta ongelmien selvittäminen nopeutuu.
Kun olet avannut tapauksen ESETin teknisessä tuessa, sinua saatetaan pyytää toimittamaan tietokoneessasi olevia
lokeja. ESET Log Collector helpottaa tarvittavien tietojen keräämistä.
ESET Log Collector sisältää kaikki kielet yhdessä ohjelmatiedostossa. Tällä tavalla voit vaihtaa kieltä tarpeen
mukaan käynnistyksen yhteydessä lataamatta oikeaa lokalisoitua versiota. Käytettävä kieli tunnistetaan joko
automaattisesti tai sen voi valita erikseen. Kielen voi määrittää erikseen kahdella tavalla:
1. Käytä komentorivivalitsinta /lang:<language_code>
2. Nimeä tiedosto uudelleen nimellä ESETLogCollector_<language_code>.exe
Käytettävissä olevat kielikoodiarvot: ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS,
CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR
HUOMAUTUS
ESET Log Collector jaetaan 32-bittisenä sovelluksena. Sen toiminta 64-bittisessä järjestelmässä on varmistettu 64-
bittisellä ESET Log Collector-ohjelmatiedostolla, joka on upotettu resurssiksi. Se puretaan Temp-hakemistoon ja
suoritetaan, kun 64-bittinen järjestelmä tunnistetaan.
ESET Log Collector on käytettävissä kahdella tavalla:
Graafinen käyttöliittymä
Komentoriviliittymä (versiosta 1.8 alkaen). Kun komentoriviliittymän parametreja ei ole määritetty, ESET Log
Collector käynnistyy graafisen käyttöliittymän tilassa.
ESET-tuotelokit kerätään joko alkuperäisinä binaaritiedostoina tai suodatettuina binaaritiedostoina (oletus
on suodatetut binaaritiedostot), kun ESET Log Collector on käytössä graafisessa käyttöliittymässä. Jos viety
binaaritiedosto on suodatettu, voit valita vietyjen tietueiden enimmäisiän. Tietueita voi viedä yhteen lokitiedostoon
kerrallaan enintään 1 miljoonan.
HUOMAUTUS
ESET Log Collector Muuntaa myös kerätyt ESET-binaarilokitiedostot (.dat) XML- tai tekstitiedostoiksi. Voit
kuitenkin muuntaa kerätyt ESET-binaarilokit ESET Log Collector:n komentoriviliittymällä.
Ohje
Voit avata online-ohjeen uusimman version painamalla F1-näppäintä tai napsauttamalla ?-painiketta.
2
ESET Log Collector, käyttöliittymä
Kun ESET Log Collector on ladattu ESETin sivustosta, käynnistä ESET Log Collector. Kun olet hyväksynyt
käyttöoikeussopimuksen, ESET Log Collector avataan. Jos et hyväksy käyttöoikeussopimuksen ehtoja, valitse
Peruuta. ESET Log Collector ei tule käyttöön.
Voit valita keräysprofiilin tai tehdä oman artefaktivalinnan. Keräysprofiili on määritetty joukko artefakteja:
Oletus – Oletusprofiili, jolle on valittu suurin osa artefakteista. Sitä käytetään yleisissä tukitapauksissa.
(Yksityiskohtainen luettelo valituista artefakteista on kohdassa Luettelo artefakteista).
Uhkien tunnistus – Päällekkäinen oletusprofiilin kanssa useiden artefaktien osalta, mutta toisin kuin
oletusprofiili, Uhkien tunnistus -profiili kerää ensisijaisesti artefakteja, jotka auttavat haittaohjelmien
tunnistukseen liittyvien tukitapausten selvittämisessä. (Yksityiskohtainen luettelo valituista artefakteista on
kohdassa Luettelo artefakteista).
Kaikki – Valitsee kaikki käytettävissä olevat artefaktit.
Ei mitään – Poistaa kaikkien artefaktien valinnan ja mahdollistaa kerättävien lokien valintaruutujen valinnan.
Mukautettu – Tämä keräysprofiili otetaan käyttöön automaattisesti, kun teet muutoksen aiemmin valittuun
profiiliin ja kun valittujen artefaktien yhdistelmä ei sovi edellä kuvattuihin profiileihin.
3
HUOMAUTUS
Kerättävissä olevien artefaktien luettelo muuttuu sen mukaan, mikä ESET-tietoturvatuote on asennettu
järjestelmään, millainen järjestelmäkokoonpano on ja mitä muita ohjelmistoja käytetään, kuten Microsoft Server -
sovelluksia. Vain asiaankuuluvat artefaktit ovat käytettävissä.
Valitse Lokien ikäraja [päivää] ja ESETin lokienkeräystila (oletusasetus on Suodatettu binaari).
ESETin lokienkeräystila:
Suodatettu binaari – Tietueet suodatetaan päivien määrällä, joka on määritetty asetuksella Lokien ikäraja
[päivää], mikä tarkoittaa, että tietueet kerätään vain määritetyiltä kuluneilta päiviltä.
Alkuperäinen binaari levyltä – Kopioi ESET-binaarilokitiedostot ja ohittaa ESET-lokien Lokien ikäraja
[päivää] -arvon, jotta kaikki tietueet voidaan kerätä niiden iästä riippumatta. Ikäraja on kuitenkin edelleen
voimassa muissa kuin ESET-lokeissa, kuten Windows-tapahtumalokeissa, Microsoft SharePoint -lokeissa tai IBM
Domino -lokeissa.
Voit määrittää arkistotiedostojen tallennuspaikka ja valitse sitten Tallenna. Arkistotiedoston nimi on määritetty
ennalta. Valitse Kerää. Sovelluksen toiminnan voi keskeyttää milloin tahansa painamalla samaa painiketta –
painikkeen tekstiksi muuttuu Peruuta käsittelyn aikana. Onnistuminen tai epäonnistuminen ilmaistaan
ponnahdusviestillä. Virhetilanteessa lisätietoja saa lokiruudusta.
Keräyksen aikana voit seurata näytön alaosassa olevaa toimintoloki-ikkunaa ja parhaillaan tehtävää toimintoa. Kun
keräys on valmis, kaikki kerätyt ja arkistoidut tiedot tuodaan näkyviin. Tämä tarkoittaa, että keräys onnistui ja että
arkistotiedosto (esimerkiksi emsx_logs.zip, ees_logs.zip tai eea_logs.zip) on tallennettu määritettyyn sijaintiin.
(Yksityiskohtaisia tietoja on kohdassa Luettelo artefakteista).
Luettelo artefakteista / kerätyistä tiedostoista
Tässä osiossa on kuvaus tiedostoista, jotka ovat tuloksena saatavassa .zip-tiedostossa. Kuvaus jaetaan aliosioihin
tietojen tyypin mukaan (tiedostot ja artefaktit).
Sijainti/tiedostonimi Kuvaus
metadata.txt Sisältää .zip-arkiston luontipäivämäärän, ESET Log Collector-version, ESET-tuoteversion ja
peruskäyttöoikeustiedot.
collector_log.txt Graafisesta käyttöliittymästä saadun lokitiedoston kopio, sisältää tiedot .zip-tiedoston
luontiajankohtaan saakka.
4
Windows-prosessit
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
Käynnissä olevat
prosessit
(avoimet tunnukset
ja ladatut DLL-
tiedostot)
Windows\Processes\Processes.txt Tekstitiedosto, joka sisältää
luettelon koneessa käynnissä
olevista prosesseista. Kullekin
prosessille tulostetaan seuraavat
kohteet:
oPID
oYlätason PID
oSäikeiden määrä
oAvointen tunnusten määrä
tyypin mukaan ryhmiteltynä
oLadatut moduulit
oKäyttäjätili, jolle se kuuluu
oMuistin käyttö
oAloituksen aikaleima
oYdin ja käyttäjän aika
oSiirräntätilastot
oKomentorivi
Käynnissä olevat
prosessit
(avoimet tunnukset
ja ladatut DLL-
tiedostot)
Windows\ProcessesTree.txt Tekstitiedosto, joka sisältää
puurakenteen koneessa käynnissä
olevista prosesseista. Kullekin
prosessille tulostetaan seuraavat
kohteet:
oPID
oKäyttäjätili, jolle se kuuluu
oAloituksen aikaleima
oKomentorivi
Windows-lokit
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
Sovellustapahtumaloki Windows\Logs\Application.xml Windows-sovelluksen tapahtumalokit mukautetussa XML-
muodossa. Vain edellisten 30 päivän viestit sisällytetään.
Järjestelmätapahtumaloki Windows\Logs\System.xml Windows-järjestelmän tapahtumalokit mukautetussa
XML-muodossa. Vain edellisten 30 päivän viestit
sisällytetään.
Päätepalvelut – LSM-
toimintotapahtumaloki*
Windows\Logs\LocalSessionManager-Operational.evtx Windowsin tapahtumaloki, joka sisältää tietoja RDP-
istunnoista.
Ohjainten asennuslokit Windows\Logs\catroot2_dberr.txt Sisältää tietoja luetteloista, jotka on lisätty "catstore"-
tiedostoon ohjaiten asennuksen aikana.
SetupAPI-lokit* Windows\Logs\SetupAPI\setupapi*.log Laite- ja sovellusasennusten tekstilokit.
WMI-toiminnon käytössä
oleva tapahtumaloki
Windows\Logs\WMI-Activity.evtx Windowsin tapahtumaloki, joka sisältää WMI-toiminnon
jäljitystietoja. Vain edellisten 30 päivän viestit
sisällytetään.
Sovellustapahtumaloki Windows\Logs\Application.evtx Windows-sovelluksen tapahtumalokitiedosto. Vain
edellisten 30 päivän viestit sisällytetään.
Järjestelmätapahtumaloki Windows\Logs\System.evtx Windows-järjestelmän tapahtumalokitiedosto. Vain
edellisten 30 päivän viestit sisällytetään.
Palvelujen
rekisteriavainsisältö
Windows\Services.reg Sisältää kohteen
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
rekisteriavaimen sisällön. Tämän avaimen kerääminen
saattaa olla hyödyksi ohjaimissa olevien
ongelmatapausten selvittämisessä.
*Windows Vista ja uudemmat
5
Järjestelmän määritys
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus Uhkien
tunnistus
Asemien tiedot Windows\drives.txt
Windows\volumes.txt
Kerätty tekstitiedosto, joka sisältää
levyjen ja levyasemien tiedot.
Laitteiden tiedot Windows/devices/*.txt Kerätty useita tekstitiedostoja, joissa
on laitteiden luokka- ja liittymätietoja.
Verkon määritys Config\network.txt Kerätty tekstitiedosto, joka sisältää
verkkomääritykset. (Tulos saadaan
suorittamalla ipconfig /all)
ESET SysInspector -
loki
Config\SysInspector.xml SysInspector-loki XML-muodossa.
Winsock LSP -
luettelo
Config\WinsockLSP.txt Kerää netsh winsock show catalog -
komennon tuloksen.
WFP-suodattimet* Config\WFPFilters.xml Kerätty WFP-suodattimien
kokoonpanon XML-muodossa.
Kattava Windowsin
rekisterin sisältö
Windows\Registry\* Kerätyt binaaritiedostot, joissa on
Windowsin rekisterin tietoja.
Tilapäisissä
hakemistoissa
olevien tiedostojen
luettelo
Windows\TmpDirs\*.txt Kerätyt tekstitiedostot, jossa on
järjestelmän käyttäjän tilapäisten
hakemistojen ja
hakemistojen%windir%/temp, %TEMP%
ja %TMP% sisältö.
Ajoitetut Windows-
tehtävät
Windows\Scheduled Tasks\*.* Useat kerätyt xml-tiedostot, jotka
sisältävät kaikki Windowsin Tehtävien
ajoituksen tehtävät ja auttavat
tunnistamaan Tehtävien ajoitusta
hyödyntäviä haittaohjelmia. Koska
tiedostot sijaitsevat alikansioissa, koko
rakenne kerätään.
WMI-varanto Windows\WMI Repository\*.* Kerätty useita WMI-tietokannan tietoja
(WMI-luokkien metatiedot, määritelmät
ja staattiset tiedot) sisältäviä
binaaritiedostoja. Näiden tiedostojen
kerääminen saattaa auttaa
tunnistamaan haittaohjelmat, jotka
käyttävät WMI:tä pysyvään
hyödyntämiseen (kuten Turla). Koska
WMI-tiedostot saattavat sijaita
alikansioissa, koko rakenne kerätään.
Windows Server -
roolit ja -toiminnot
Windows\server_features.txt Tekstitiedosto, joka sisältää kaikkien
Windows Server -ominaisuuksien
puurakenteen. Jokainen ominaisuus
sisältää seuraavat tiedot:
oAsennettu tila
oLokalisoitu nimi
oKoodin nimi
oTila (käytettävissä Microsoft Windows
Server 2012:ssa ja uudemmissa)
*Windows 7 ja uudemmat
6
ESET-asennusohjelma
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
ESET-asennusohjelmalokit ESET\Installer\*.log Asennuslokit, jotka on luotu ESET
NOD32 Antivirusin ja ESET Smart
Security 10 Premium -tuotteiden
asennuksen aikana.
ESET Remote Administrator -lokien tiedot koskevat myös ESET Security Management Center -ratkaisua.
ESET Security Management Center (ESMC) ja ESET Remote Administrator (ERA)
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
ESMC-/ERA-palvelimien lokit ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip Luo palvelintuotelokit
ZIP-arkistoon. Sisältää
jäljitys-, tila- ja virhelokit.
ESMC-/ERA-agenttien lokit ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip Luo agenttituotelokit ZIP-
arkistoon. Sisältää
jäljitys-, tila- ja virhelokit.
ESMC-/ERA-prosessitiedot ja
vedostiedostot*
ERA\Server\Process and old
dump\RemoteAdministratorServerDiagnostic<datetime>.zip
Palvelinprosessivedokset.
ESMC-/ERA-prosessitiedot ja
vedostiedostot*
ERA\Agent\Process and old
dump\RemoteAdministratorAgentDiagnostic<datetime>.zip
Agenttiprosessivedokset.
ESMC-/ERA-kokoonpano ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip Palvelinkokoonpanon ja
sovellustiedot sisältävät
tiedostot ZIP-arkistossa.
ESMC-/ERA-kokoonpano ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip Agenttikokoonpanon ja
sovellustiedot sisältävät
tiedostot ZIP-arkistossa.
ESMC/ERA Rogue Detection -
sensorilokit
ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip ZIP-tiedosto, joka sisältää
RD-tunnistimen
jäljityslokin, edellisen
virheen lokin, tilalokin,
kokoonpanon, vedokset
ja yleisiä tietoja
sisältäviä tiedostoja.
ESMC/ERA MDMCore -lokit ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip ZIP-tiedosto, joka sisältää
MDMCore-jäljityslokin,
edellisen virheen lokin,
tilalokin, vedokset ja
yleisiä tietoja sisältäviä
tiedostoja.
ESMC-/ERA-välityspalvelimien
lokit
ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip ZIP-tiedosto, joka sisältää
ERA-välityspalvelimen
jäljityslokin, edellisen
virheen lokin, tilalokin,
kokoonpanon, vedokset
ja yleisiä tietoja
sisältäviä tiedostoja.
ESMC-/ERA-agentin
tietokanta
ERA\Agent\Database\data.db ESMC-/ERA-agentin
tietokantatiedosto.
Apache Tomcat -kokoonpano ERA\Apache\Tomcat\conf\*.* Apache Tomcat -
kokoonpanotiedostot,
joissa on kopio
server.xml-tiedostosta
ilman arkaluonteisia
tietoja.
Apache Tomcat -lokit ERA\Apache\Tomcat\logs\*.log
ERA\Apache\Tomcat\EraAppData\logs\*.log
ERA\Apache\Tomcat\EraAppData\WebConsole\*.log
Apache Tomcat -loki(t)
tekstimuodossa Apache
Tomcat -palvelimen
asennus- tai
sovellushakemistossa.
Sisältää myös
verkkokonsolilokit.
Apache HTTP -
välityspalvelimen
kokoonpano
ERA\Apache\Proxy\conf\httpd.conf Apache HTTP -
välityspalvelimen
kokoonpanotiedosto.
7
ESET Security Management Center (ESMC) ja ESET Remote Administrator (ERA)
Apache HTTP -
välityspalvelimen lokit
ERA\Apache\Proxy\logs\*.log Apache HTTP -
välityspalvelinloki(t)
tekstimuodossa.
*ESMC-/ERA-palvelin tai ESMC-/ERA-agentti
ESET-määritys
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
ESET-tuotemääritys info.xml Tietoja sisältävä XML, jossa on
eritelty järjestelmään
asennetun ESET-tuotteen
tiedot. Se sisältää järjestelmän
perustiedot, asennetun
tuotteen tiedot ja
tuotemoduulien luettelon.
ESET-tuotemääritys versions.csv Versiosta 4.0.3.0 alkaen
tiedosto on aina mukana
(ilman riippuvuussuhteita). Se
sisältää asennetun tuotteen
tiedot. versions.csv-tiedoston
on oltava ESET AppData -
hakemistossa, jotta se voidaan
lisätä.
ESET-tuotemääritys features_state.txt Sisältää tietoja ESET-
tuoteominaisuuksista ja niiden
tiloista (Aktiivinen, Passiivinen,
Ei integroitu). Tiedosto
kerätään aina, eikä sitä sidota
mihinkään valittavissa olevaan
artefaktiin.
ESET-tuotemääritys Configuration\product_conf.xml Luo XML:n viedyllä
tuotekokoonpanolla.
ESET-tietojen ja
asennusten
hakemistotiedostoluettelo
ESET\Config\data_dir_list.txt Luo tekstitiedostonm joka
sisältää luettelon ESET
AppData -hakemistossa ja
kaikissa sen alihakemistoissa
olevista tiedostoista.
ESET-tietojen ja
asennusten
hakemistotiedostoluettelo
ESET\Config\install_dir_list.txt Luo tekstitiedostonm joka
sisältää luettelon ESET Install -
hakemistossa ja kaikissa sen
alihakemistoissa olevista
tiedostoista.
ESET-ohjaimet ESET\Config\drivers.txt Kerää asennettujen ESET-
ohjainten tiedot.
ESETin henkilökohtaisen
palomuurin määritys
ESET\Config\EpfwUser.dat Kopiotiedosto, jossa on ESETin
henkilökohtaisen palomuurin
määritys.
ESET-rekisteriavaimen
sisältö
ESET\Config\ESET.reg Sisältää kohteen
HKLM\SOFTWARE\ESET
rekisteriavaimen sisällön
Winsock LSP -luettelo Config/WinsockLSP.txt Kerää netsh winsock show
catalog -komennon tuloksen.
8
ESET-määritys
Viimeksi käytetty käytäntö ESET\Config\lastPolicy.dat EMSC-/ERA-käytäntö, joka on
käytössä.
ESET-komponentit ESET\Config\msi_features.txt Käytettävissä olevista ESET-
tuotteen MSI-asennusohjelman
komponenteista kerätyt tiedot.
HIPS-kokoonpano ESET\Config\HipsRules.bin HIPS-sääntöjen tiedot.
Kodinvalvonnan
kokoonpano
ESET\Config\homenet.dat Kodinvalvonnan tiedot.
Karanteeni
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
Tietoja karanteenissa
olevista tiedostoista
ESET\Quarantine\quar_info.txt Luo tekstitiedoston, jossa on
luettelo karanteenissa olevista
objekteista.
Pienet karanteeniin
asetetut tiedostot (< 250
kt)
ESET\Quarantine\*.*(< 250KB) Karanteenitiedostot, joiden koko
on alle 250 kt.
Suuret karanteeniin
asetetut tiedostot (> 250
kt)
ESET\Quarantine\*.*(> 250KB) Karanteenitiedostot, joiden koko
on yli 250 kt.
ESET -lokit
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
ESET-tapahtumaloki ESET\Logs\Common\warnlog.dat ESET-tuotetapahtumaloki
binaarimuodossa.
ESETin havaittujen uhkien loki ESET\Logs\Common\virlog.dat ESETin havaittujen
uhkien loki
binaarimuodossa.
ESET-tarkistuslokit (tietokone) ESET\Logs\Common\eScan\*.dat ESET-tarkistuslokit
(tietokone)
binaarimuodossa.
ESET HIPS -loki* ESET\Logs\Common\hipslog.dat ESET HIPS -loki
binaarimuodossa.
ESET-käytönvalvontalokit* ESET\Logs\Common\parentallog.dat ESET-käytönvalvontaloki
binaarimuodossa.
ESET-laitehallintaloki* ESET\Logs\Common\devctrllog.dat ESET-laitehallintaloki
binaarimuodossa.
ESET-suojausloki
(verkkokamera)*
ESET\Logs\Common\webcamlog.dat ESET-suojausloki
(verkkokamera)
binaarimuodossa.
ESETin tarvepohjaisen
palvelintietokantatarkistuksen
lokit
ESET\Logs\Common\ServerOnDemand\*.dat ESETin tarvepohjaisen
palvelintarkistuksen lokit
binaarimuodossa.
ESET Hyper-V -palvelimen
tarkistuksen lokit
ESET\Logs\Common\HyperVOnDemand\*.dat ESET Hyper-V -
palvelimen
tarkistusloki(t)
binaarimuodossa.
9
ESET -lokit
MS OneDrive -tarkistuslokit ESET\Logs\Common\O365OnDemand\*.dat MS OneDrive -
tarkistusloki(t)
binaarimuodossa.
ESETin estettyjen tiedostojen
loki
ESET\Logs\Common\blocked.dat ESETin estettyjen
tiedostojen loki(t)
binaarimuodossa.
ESETin lähetettyjen
tiedostojen loki
ESET\Logs\Common\sent.dat ESETin lähetettyjen
tiedostojen loki(t)
binaarimuodossa.
ESET-tarkistusloki ESET\Logs\Common\audit.dat ESET-tarkistusloki(t)
binaarimuodossa.
*Asetus on näkyvissä vain, kun tiedosto on olemassa.
ESETin verkkolokit
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
ESETin verkon
suojauksen loki*
ESET\Logs\Net\epfwlog.dat ESETin verkon suojauksen loki
binaarimuodossa.
ESETin suodatettujen
verkkosivujen loki*
ESET\Logs\Net\urllog.dat ESETin suodatettujen
verkkosivujen loki
binaarimuodossa.
ESETin Internetin
hallinnan loki*
ESET\Logs\Net\webctllog.dat ESETin Internetin hallinnan loki
binaarimuodossa.
ESET pcap -lokit ESET\Logs\Net\EsetProxy*.pcapng Kopioi ESET pcap -lokit.
*Asetus on näkyvissä vain, kun tiedosto on olemassa.
ESET-diagnostiikka
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
Paikallinen
välimuistitietokanta
ESET\Diagnostics\local.db ESETin skannattujen tiedostojen
tietokanta.
Tuotteen yleiset
diagnostiikkalokit
ESET\Diagnostics\*.* Tiedostot (minivedokset) ESET-
diagnostiikkakansiosta.
ECP-diagnostiikkalokit ESET\Diagnostics\ECP\*.xml ESET Communication Protocol -
diagnostiikkalokit luodaan, jos
ongelmia ilmenee
tuoteaktivoinnissa ja
aktivointipalvelinyhteyksissä.
ESETin suojattu todennus
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
ESA-lokit ESA\*.log Viedyt lokit ESETin suojatusta todennuksesta.
10
ESET Enterprise Inspector
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
EEI-palvelimen lokit EEI\Server\Logs\*.log Palvelintuotteen tekstilokit.
EEI-agentin lokit EEI\Agent\Logs\*.log Agenttiohjelmatuotteen
tekstilokit.
EEI-palvelimen kokoonpano EEI\Server\eiserver.ini Palvelimen tuotekokoonpanon
sisältävä .ini-tiedosto.
EEI-agentin kokoonpano EEI\Agent\eiagent.ini Agenttiohjelman
tuotekokoonpanon sisältävä .ini-
tiedosto.
EEI-palvelimen käytäntö EEI\Server\eiserver.policy.ini Palvelimen tuotekäytännön
sisältävä .ini-tiedosto.
EEI-agentin käytäntö EEI\Agent\eiagent.policy.ini Agenttiohjelman tuotekäytännön
sisältävä .ini-tiedosto.
EEI-palvelimen sertifikaatit EEI\Server\Certificates\*.* Sisältää palvelintuotteen
käyttämät sertifiointitiedostot.
Koska tiedostot sijaitsevat
alikansioissa, koko rakenne
kerätään.
EEI-agentin sertifikaatit EEI\Agent\Certificates\*.* Sisältää agenttiohjelmatuotteen
käyttämät sertifiointitiedostot.
Koska tiedostot sijaitsevat
alikansioissa, koko rakenne
kerätään.
EEI-palvelimen vedokset EEI\Server\Diagnostics\*.* Palvelintuotteen vedostiedostot.
MySQL-palvelinkokoonpano EEI\My SQL\my.ini EEI Server -tuotteen käyttämän
MySQL-palvelinkokoonpanon
sisältämä .ini-tiedosto.
MySQL-palvelinlokit EEI\My SQL\EEI.err EEI Server -tuotteen käyttämän
MySQL-palvelimen
virhetekstiloki.
ESET Full Disk Encryption
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
EFDE-lokit EFDE\AIS\Logs\*.*
EFDE\Core\*.log
ESET Full Disk Encryptionista viedyt lokit
(AIS ja Core).
EFDE-käyttöoikeustiedot EFDE\AIS\Licesne\*.* EFDE:n käyttöoikeuksien datatiedostot.
EFDE-kokoonpano EFDE\AIS\lastpolicy.dat Sisältää EFDE-kokoonpanon.
ESET Email -lokit (ESET Mail Security for Exchange, ESET Mail Security for Domino)
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
11
ESET Email -lokit (ESET Mail Security for Exchange, ESET Mail Security for Domino)
ESETin roskapostiloki ESET\Logs\Email\spamlog.dat ESET-roskapostiloki
binaarimuodossa.
ESET-harmaalistausloki ESET\Logs\Email\greylistlog.dat ESET-harmaalistausloki
binaarimuodossa.
ESETin SMTP-suojausloki ESET\Logs\Email\smtpprot.dat ESETin SMTP-suojausloki
binaarimuodossa.
ESETin
sähköpostipalvelimen
suojausloki
ESET\Logs\Email\mailserver.dat ESETin
sähköpostipalvelimen
suojausloki
binaarimuodossa.
ESET-diagnostisen
sähköpostinkäsittelyn lokit
ESET\Logs\Email\MailServer\*.dat ESET-diagnostisen
sähköpostinkäsittelyn lokit
binaarimuodossa, suora
kopio levyltä.
ESETin roskapostiloki* ESET\Logs\Email\spamlog.dat ESET-roskapostiloki
binaarimuodossa.
ESET-roskapostisuojauksen
määritys- ja
diagnostiikkalokit
ESET\Logs\Email\Antispam\antispam.*.log
ESET\Config\Antispam\*.*
Kopioi ESET-
roskapostisuojauksen
määritys- ja
diagnostiikkalokit.
*Asetus on näkyvissä vain, kun tiedosto on olemassa.
ESET Sharepoint -lokit (ESET Security for SharePoint)
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
ESET SHPIO.log ESET\Log\ESHP\SHPIO.log ESET-diagnostiikkaloki SHPIO.exe-
apuohjelmasta.
Tuotekohtaiset lokit – asetukset ovat saatavilla tietylle tuotteelle.
Domino (ESET Mail Security for Domino)
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
Domino
IBM_TECHNICAL_SUPPORT
lokit + huomiot.ini
LotusDomino\Log\notes.ini IBM Domino -
kokoonpanotiedosto.
Domino
IBM_TECHNICAL_SUPPORT
lokit + huomiot.ini
LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.* IBM Domino -lokit,
jotka ovat enintään
30 päivää vanhoja.
MS SharePoint (ESET Security for SharePoint)
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
MS SharePoint -lokit SharePoint\Logs\*.log MS SharePoint -lokit, jotka ovat enintään 30 päivää
vanhoja.
12
MS SharePoint (ESET Security for SharePoint)
SharePoint-rekisteriavaimen
sisältö
SharePoint\WebServerExt.reg Sisältää kohteen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
Tools\Web Server Extensions rekisteriavaimen
sisällön. Käytettävissä vain, kun ESET Security for
SharePoint on asennettu.
MS Exchange (ESET Mail Security for Exchange)
Artefaktin nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
MS Exchange -
siirtoagenttien
rekisteröinti
Exchange\agents.config MS Exchange -siirtoagenttien
rekisteröinnin kokoonpanotiedosto.
Microsoft Exchange Server 2007 ja
uudemmat.
MS Exchange -
siirtoagenttien
rekisteröinti
Exchange\sinks_list.txt MS Exchange -tapahtumanielujen
rekisteröintivedos. Microsoft Exchange
Server 2000 ja 2003.
MS Exchange EWS-lokit Exchange\EWS\*.log EWS Exchange -palvelinlokien
kokoaminen.
Kerio Connect (ESET Security for Kerio)
Artefaktin
nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
Kerio
Connect -
määritys
Kerio\Connect\mailserver.cfg Kerio Connect -
kokoonpanotiedosto.
Kerio
Connect -
lokit
Kerio\Connect\Logs\{mail,error,security,debug,warning}.log Valikoidut Kerio
Connect -
lokitiedostot.
Kerio Control (ESET Security for Kerio)
Artefaktin
nimi
Keräysprofiili
Sijainti/tiedostonimi Kuvaus
Oletus
Uhkien
tunnistus
Kerio
Control -
määritys
Kerio\Connect\winroute.cfg Kerio Control -
kokoonpanotiedosto.
Kerio
Control -
lokit
Kerio\Connect\Logs\{alert,error,security,debug,warning}.log Valikoidut Kerio
Control -lokitiedostot.
ESET Log Collector, komentorivi
Komentoriviliittymä on toiminto, jolla voit käyttää tuotetta ESET Log Collector ilman graafista käyttöliittymää. Voit
esimerkiksi Server Core- tai Nano Server -asennuksessa käyttää komentoriviä graafisen käyttöliittymän sijaan.
Käytettävissä on myös vain komentorivillä toimiva toiminto, joka muuntaa ESET-binaarilokitiedoston XML-muotoon
tai tekstitiedostoksi.
13
Komentorivin ohje – Syntaksiohjeen voi tuoda näkyviin komennolla start /wait ESETLogCollector.exe
/? Se tuo näkyviin myös luettelon käytettävissä olevista kohteista (artefakteista), joita voi kerätä. Luettelon sisältö
määräytyy siihen järjestelmään asennetun ESET-tietoturvatuotteen tyypin mukaan, jossa ESET Log Collector on
käytössä. Vain asiaankuuluvat artefaktit ovat käytettävissä.
HUOMAUTUS
Suosittelemme etuliitettä start /wait mitä tahansa komentoa suoritettaessa, koska ESET Log Collector on
ensisijaisesti graafisen käyttöliittymän työkalu, eikä Windows-komentorivin tulkintatoiminto (shell) odota
ohjelmatiedoston lopettamista, vaan palaa näyttämään uuden kehotteen. Kun käytät etuliitettä start /wait,
Windows shell odottaa ESET Log Collector:n lopettamista.
Jos ESET Log Collector on käytössä ensimmäistä kertaa, ESET Log Collector edellyttää, että hyväksyt
käyttöoikeussopimuksen. Voit hyväksyä käyttöoikeussopimuksen suorittamalla parametrin /accepteula aivan
ensimmäisen komennon yhteydessä. Kaikki seuraavat komennot suoritetaan ilman parametria /accepteula. Jos
et hyväksy käyttöoikeussopimuksen ehtoja, eikä käytä parametria /accepteula, komentoa ei suoriteta.
Parametri /accepteula on myös määritettävä ensimmäiseksi parametriksi, esimerkiksi: start /wait
ESETLogCollector.exe /accepteula /age:90 /otype:fbin
/targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip
Käyttö:
[start /wait] ESETLogCollector.exe [options] <out_zip_file> – kerää lokit määritettyjen
asetusten mukaan ja luo tulosarkistotiedoston ZIP-muodossa.
[start /wait] ESETLogCollector.exe /Bin2XML [/All] <eset_binary_log>
<output_xml_file> – muuntaa kerätyn ESET-binaarilokitiedoston (.dat) XML-tiedostoksi.
[start /wait] ESETLogCollector.exe /Bin2Txt [/All] <eset_binary_log>
<output_txt_file> – muuntaa kerätyn ESET-binaarilokitiedoston (.dat) tekstitiedostoksi.
Asetukset:
/Age:<päivän> – Kerättyjen lokitietojen enimmäisikä päivissä. Arvoasteikko on 0–999, 0 tarkoittaa ääretöntä,
oletuksena on 30.
/OType:<xml|fbin|obin> – ESET-lokien keräysmuoto:
xml – suodatettu XML
fbin – Suodatettu binaari (oletus)
obin – alkuperäinen binaari levyltä
/All – Myös poistettavaksi merkityt tietueet käännetään. Tämä parametri on sovellettavissa vain, kun kerätty
ESET-binaarilokitiedosto muunnetaan XML- tai TXT-tiedostoksi.
/Targets:<id1>[,<id2>...] – Luettelo kerättävistä artefakteista. Jos asetusta ei ole määritetty,
oletusjoukko kerätään. Erikoisarvo "all" tarkoittaa kaikkia kohteita.
/NoTargets:<id1>[,<id2>...] – Luettelo ohitettavista artefakteista. Tätä luetteloa sovelletaan Kohteet-
luettelon jälkeen.
/Profile:<default|threat|all> - Keräysprofiili on määritetty joukko kohteita:
default – profiilia käytetään yleisissä tukitapauksissa
threat – profiili liittyy uhkien tunnistuksiin
all – valitsee kaikki käytettävissä olevat kohteet
14
HUOMAUTUS
Kun valitset Suodatettu XML- tai Suodatettu binaari -keräysmuodon, suodatus tarkoittaa, että tietueita
kerätään vain määrätyiltä kuluneilta päiviltä (määritetty parametrilla /Age:<days>). Jos valitset asetuksen
Alkuperäinen binaari levyltä, parametri /Age:<days> ohitetaan kaikissa ESET-lokeissa. Muissa lokeissa, kuten
Windows-tapahtumalokeissa, Microsoft SharePoint -lokeissa ja IBM Domino -lokeissa, käytetään parametria
/Age:<days>, jotta voit rajoittaa muiden kuin ESET-lokitietueiden keräyksen määrättyyn päivien määrään ja
kerätä alkuperäisiä (kopioituja) ESET-binaaritiedostoja ilman aikarajoitusta.
HUOMAUTUS
Parametri /All mahdollistaa kaikkien lokitietueiden muuntamisen. Näihin kuuluvat graafisessa käyttöliittymässä
poistetut tietueet, jotka ovat poistetuksi merkityssä alkuperäisessä binaaritiedostossa (lokitietueet eivät näy
graafisessa käyttöliittymässä).
15
ESIMERKKI:
Tämä esimerkkikomento vaihtaa kielen italiaksi. Voit käyttää mitä tahansa seuraavista kielistä: ARE, BGR, CSY,
DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB,
ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR
/lang: ITA
16
ESIMERKKI:
Tällä esimerkkikomennolla kerätään ESET-tuotemääritykset, tietoja karanteenissa olevista tiedostoista, ESET-
tapahtumalokit, havaittujen uhkien ESET-loki ja tietokoneen tarkistuksen ESET-lokit Suodatettu binaari -
keräystilassa edellisten 90 päivän ajalta:
start /wait ESETLogCollector.exe /age:90 /otype:fbin
/targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip
ESIMERKKI:
Tämä esimerkkikomento kerää käynnissä olevat prosessit, järjestelmän tapahtumalokin, ESET SysInspector -lokin,
ESET-tuotemääritykset, ESET-tapahtumalokin ja tuotteen yleiset diagnostiikkalokit Alkuperäinen binaari levyltä
keräystilassa:
start /wait ESETLogCollector.exe /otype:obin
/targets:proc,evlogsys,sysin,prodcnf,warn,diag collected_diag_logs.zip
ESIMERKKI:
Tämä esimerkkikomento kerää ERA-agenttilokit, ERA-palvelinlokit, ERA-kokoonpanon ja ERA Rogue Detection -
sensorilokit Suodatettu XML -keräystilassa edellisten 10 päivän ajalta:
start /wait ESETLogCollector.exe /age:10 /otype:xml
/targets:eraag,erasrv,eraconf,erard collected_era_logs.zip
ESIMERKKI:
Tämä esimerkkikomento muuntaa kerätyn ESET-binaarilokitiedoston (Tietokoneen tarkistuksen loki) XML-
tiedostomuotoon kaikille tietueille (myös poistetuksi merkityt lokit):
start /wait ESETLogCollector.exe /bin2xml /all
C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.xmlKerätty Tietokoneen
tarkistuksen loki muunnetaan samaan tapaan tekstitiedostoksi, mutta poistetuiksi merkityt lokit ohitetaan:
start /wait ESETLogCollector.exe /bin2txt
C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.txt
Käytettävissä olevat kohteet
Tässä on kattava luettelo kaikista käytettävissä olevista kohteista, joita voi kerätä tuotteen ESET Log Collector
komentorivillä ja käyttämällä määritystä /Targets:.
HUOMAUTUS
Kaikki tässä olevat kohteet eivät välttämättä ole näkyvissä. Tämä johtuu siitä, että vain järjestelmässäsi
käytettävissä olevat kohteet näytetään luettelossa, kun suoritat komentorivin ohjekomennon start /wait
ESETLogCollector.exe /? Kohteet, jotka eivät ole luettelossa, eivät koske järjestelmääsi tai kokoonpanoasi.
Proc Käynnissä olevat prosessit (avoimet tunnukset ja ladatut DLL-tiedostot)
Drives Asemien tiedot
Devices Laitteiden tiedot
SvcsReg Palvelujen rekisteriavainsisältö
EvLogApp Sovellustapahtumaloki
EvLogSys Järjestelmätapahtumaloki
SetupAPI SetupAPI-lokit
EvLogLSM Päätepalvelut – LSM-toimintotapahtumaloki
EvLogWMI WMI-toiminnon käytössä oleva tapahtumaloki
SysIn ESET SysInspector -loki
DrvLog Ohjainten asennuslokit
NetCnf Verkon määritys
WFPFil WFP-suodattimet
InstLog ESET-asennusohjelmalokit
EfdeLogs EFDE-lokit
EfdeLic EFDE-käyttöoikeustiedot
17
EfdeCfg EFDE-kokoonpano
EraAgLogs ERA agentti -lokit
EraSrv ERA-palvelinlokit
EraConf ERA-määritys
EraDumps ERA-prosessitiedot ja vedostiedostot
EraRD ERA Rogue Detection -sensorilokit
EraMDM ERA MDMCore -lokit
EraProx ERA-välityspalvelinlokit
EraTomcatCfg Apache Tomcat -kokoonpano
EraTomcatLogs Apache Tomcat -lokit
EraProxyCfg Apache HTTP -välityspalvelimen kokoonpano
EraProxyLogs Apache HTTP -välityspalvelimen lokit
EsaLogs ESA-lokit
ProdCnf ESET-tuotemääritys
DirList ESET-tietojen ja asennusten hakemistotiedostoluettelo
Drivers ESET-ohjaimet
EsetReg ESET-rekisteriavaimen sisältö
EsetCmpts ESET-komponentit
QInfo Tietoja karanteenissa olevista tiedostoista
QFiles Karanteeniin asetetut tiedostot
QSmallFiles Pienet karanteeniin asetetut tiedostot
QBigFiles Suuret karanteeniin asetetut tiedostot
Warn ESET-tapahtumaloki
Threat ESETin havaittujen uhkien loki
OnDem ESET-tarkistuslokit (tietokone)
Hips ESET HIPS -loki
Fw ESETin verkon suojauksen loki
FwCnf ESETin henkilökohtaisen palomuurin määritys
Web ESETin suodatettujen verkkosivujen loki
Paren ESET-käytönvalvontalokit
Dev ESET-laitehallintaloki
WCam ESET-suojausloki (verkkokamera)
WebCtl ESETin Internetin hallinnan loki
OnDemDB ESETin tarvepohjaisen palvelintietokantatarkistuksen lokit
HyperV ESET Hyper-V -palvelimen tarkistuksen lokit
Spam ESETin roskapostiloki
Grey ESET-harmaalistausloki
SMTPProt ESETin SMTP-suojausloki
Email ESETin sähköpostipalvelimen suojausloki
EmDiag ESET-diagnostisen sähköpostinkäsittelyn lokit
ScanCache Paikallinen välimuistitietokanta
SpamDiag ESET-roskapostisuojauksen määritys- ja diagnostiikkalokit
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17
  • Page 18 18
  • Page 19 19
  • Page 20 20
  • Page 21 21

ESET Log Collector 4.2 Omaniku manuaal

Tüüp
Omaniku manuaal