ESET Log Collector 4.2 Omaniku manuaal

Tüüp
Omaniku manuaal

See käsiraamat sobib ka

ESET Log Collector
User guide
Click here to display the Online help version of this document
Copyright ©2021 by ESET, spol. s r. o.
ESET Log Collector was developed by ESET, spol. s r. o.
For more information visit www.eset.com.
All rights reserved. No part of this documentation may be reproduced, stored in a retrieval system or transmitted in
any form or by any means, electronic, mechanical, photocopying, recording, scanning, or otherwise without
permission in writing from the author.
ESET, spol. s r. o. reserves the right to change any of the described application software without prior notice.
Worldwide Customer Support: support.eset.com
REV. 15.02.2021
1 Sissejuhatus 1 ..................................................................................................................................................
1.1 Spikker 1 ......................................................................................................................................................
2 ESET Log Collector kasutajaliides 2 ....................................................................................................
2.1 Artefaktide loend / kogutavad failid 13 ..................................................................................................
3 ESET Log Collector käsurida 13 ..............................................................................................................
3.1 Saadaolevad sihtmärgid 16 .......................................................................................................................
1
Sissejuhatus
ESET Log Collector rakenduse eesmärk on koguda konkreetseid andmeid, nt huvipakkuva arvuti konfiguratsiooni ja
logide kohta, et hõlbustada teabe kogumist kliendi arvutist toesündmuse lahendamise käigus. Saate määrata,
millist teavet eelmääratud artefaktide loendist koguda, kogutavate logikirjete maksimaalse vanuse, kogutavate
ESET-i logide vormingu ja väljund-ZIP-faili nime, mis sisaldab kõiki kogutud faile ja andmeid. Kui käivitate ESET Log
Collector arvutis, millele pole ESET-i turbetoodet installitud, saab koguda ainult Windowsi sündmuste logisid ja
töötavate protsesside tõmmiseid.
MÄRKUS.
ESET Log Collector-l on samad süsteeminõuded nagu teie ESET-i turbetootel. ESET Log Collector töötab Microsoft
Windowsi operatsioonisüsteemi mis tahes versiooniga.
ESET Log Collector kogub valitud teavet teie süsteemist automaatselt, et aidata probleeme kiiremini lahendada.
Kui teil on ESET-i tehnilise toe juhtum avatud, võidakse teilt küsida arvuti logisid. ESET Log Collector muudab
vajaliku teabe kogumise hõlpsamaks.
ESET Log Collector sisaldab kõiki keeli ühes täitmisfailis. See võimaldab teil käivitamisel vahetada keelt vastavalt
vajadusele, ilma et peaksite alla laadima õige lokaliseeritud versiooni. Kasutatav keel tuvastatakse automaatselt
või selle saab valida selgesõnaliselt. Keele selgesõnaliselt määramiseks on kaks viisi.
1. Kasutage käsureavõtit /lang:<language_code>
2. Nimetage fail ümber, pannes sellele nimeks ESETLogCollector_<language_code>.exe
Saadaolevad keelekoodide väärtused: ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN,
CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR
MÄRKUS.
ESET Log Collector-d levitatakse 32-bitise rakendusena. Selle täieliku toimimise tagamiseks 64-bitisel süsteemil
sisaldab see ressursina manustatud ESET Log Collector 64-bitist täitmisfaili, mis ekstraktitakse kausta Temp ja
käivitatakse 64-bitise süsteemi tuvastamisel.
ESET Log Collector-d saab kasutada kahes režiimis.
Graafiline kasutajaliides (GUI)
Käsurea liides (CLI) (alates versioonist 1.8). Kui käsurea parameetreid pole määratud, käivitub ESET Log
Collector GUI-režiimis.
ESET-i tootelogisid kogutakse kas algsete kahendfailide või filtreeritud kahendfailidena (vaikeväärtus on
filtreeritud kahendfailid), kui ESET Log Collectorit kasutatakse GUI abil. Filtreeritud kahendekspordi puhul saate
valida eksporditud kirjete maksimaalse vanuse. Maksimaalne eksporditav kirjete arv on 1 miljon logifaili kohta.
MÄRKUS.
Veel üks ESET Log Collector funktsioon on kogutavate ESET-i kahendlogifailide teisendamine (.dat) XML-i või
tekstifaili vormingusse. Kuid saate kogutud ESET-i kahendlogifaili teisendada ainult ESET Log Collectorkäsurea
liidese (CLI) abil.
Spikker
Sisespikri viimase versiooni avamiseks vajutage klahvi F1 või klõpsake nuppu ?.
2
ESET Log Collector kasutajaliides
Kui olete ESET Log Collector ESET-i veebisaidilt alla laadinud, käivitage ESET Log Collector. Kui nõustute
lõppkasutaja litsentsilepinguga (EULA), siis ESET Log Collector avaneb. Kui otsustate lõppkasutaja
litsentsilepinguga (EULA) mitte nõustuda, siis klõpsake nuppu Tühista ja ESET Log Collector ei avane.
Seejärel saate valida kogumisprofiili või teha oma artefakti valiku. Kogumisprofiil on määratletud sihtmärkide
kogum.
Vaikesäte – vaikeprofiil, mille puhul on valitud enamik artefakte. Seda kasutatakse üldiste klienditoe
juhtumite puhul. (Vt jaotisest Artefaktide loend üksikasjalikku valitud artefaktide loendit).
Ohu tuvastamine – kattub paljude artefaktide puhul vaikeprofiiliga, kuid vastupidiselt vaikeprofiilile
keskendub ohtude tuvastamine artefaktide kogumisele, mis aitab lahendada ründevara tuvastamisega seotud
toejuhtumeid. (Vt jaotisest Artefaktide loend üksikasjalikku valitud artefaktide loendit).
Kõik – valib kõik saadaolevad artefaktid.
Pole – tühistab artefaktidelt valiku ja võimaldab märkida nende logide ruudud, mida soovite koguda.
Kohandatud – see kogumisprofiil lülitatakse automaatselt sisse, kui teete varem valitud profiilis muudatuse ja
teie valitud artefaktide kombinatsioon ei sobi ühegi ülal nimetatud profiiliga.
3
MÄRKUS.
Kuvatud artefaktide loend, mida saab koguda, muutub olenevalt tuvastatud teie süsteemi installitud ESET-i
turbetoote tüübist, teie süsteemi konfiguratsioonist ja muust tarkvarast, nt Microsoft Serveri rakendustest.
Saadaval on ainult asjakohased artefaktid.
Valige Logide vanusepiir [päevades] ja ESET-i logikogumisrežiim (vaikevalik on Filtreeritud kahendfail).
ESET-i logikogumisrežiim.
Filtreeritud kahendfail – kirjeid filtreeritakse päevade arvu järgi, mille määrab Logide vanusepiir
[päevades], mis tähendab, et kogutakse ainult viimase päevade arvu logid.
Algne kahendfail kettalt – kopeerib ESET-i kahendlogi failid, eirates ESET-i logide väärtust Logide
vanusepiir [päevades] selleks, et koguda kõiki kirjeid, nende vanusest olenemata. Kuid mitte-ESET-i logidele
(nt Windowsi sündmuselogid, Microsoft SharePointi logid või IBM Domino logid) rakendub siiski vanusepiir.
Määrake koht, kuhu soovite arhiivifailid salvestada, ja klõpsake seejärel käsku Salvesta. Arhiivifaili nimi on juba
enne määratud. Klõpsake käsku Kogu. Rakenduse töö saab töötlemise ajal alati katkestada, vajutades sama
nuppu – nupu nimi on töötlemise ajal Loobu. Edu või nurjumist näitab hüpikteade. Nurjumise korral on logipaneelil
täiendav veateave.
Kogumise ajal saate all kuvatud toimingulogi aknast vaadata, milline toiming parajasti käimas on. Kui kogumine on
lõppenud, kuvatakse kõik kogutud ja arhiivitud failid. See tähendab, et kogumine õnnestus ja arhiivifail (nt
emsx_logs.zip, ees_logs.zip või eea_logs.zip) on määratud asukohta salvestatud. (Vt üksikasjalikke andmeid
jaotisest Artefaktide loend).
Artefaktide loend / kogutavad failid
Selles jaotises kirjeldatakse saadud failis .zip sisalduvaid faile. Kirjeldus on jagatud teabe tüübi (failid ja artefaktid)
põhjal alamjaotistesse.
Asukoht / faili nimi Kirjeldus
metadata.txt Sisaldab .zip-arhiivi loomise kuupäeva, ESET Log Collector versiooni, ESET-i toote versiooni
ja põhilist litsentsimisteavet.
collector_log.txt GUI logifaili koopia sisaldab andmeid punktini, kus luuakse .zip-fail.
Windowsi protsessid
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
4
Windowsi protsessid
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
Töötavad
protsessid
(avatud pidemed
ja laaditud DLL-
id)
Windows\Processes\Processes.txt Tekstifail, mis sisaldab arvutis
töötavate protsesside loendit. Iga
protsessi puhul prinditakse
järgmised üksused.
oPID
oPeamine PID
oLõimede arv
oAvatud pidemete arv,
rühmitatuna tüübi järgi
oLaaditud moodulid
oKasutajakonto, mille all see
töötab
oMälu kasutus
oAlguse ajatempel
oTuum ja kasutaja aeg
oI/O statistika
oKäsurida
Töötavad
protsessid
(avatud pidemed
ja laaditud DLL-
id)
Windows\ProcessesTree.txt Tekstifail, mis sisaldab arvutis
töötavate protsesside puud. Iga
protsessi puhul prinditakse
järgmised üksused.
oPID
oKasutajakonto, mille all see
töötab
oAlguse ajatempel
oKäsurida
Windowsi logid
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
Rakenduse
sündmuselogi
Windows\Logs\Application.xml Windowsi rakenduse sündmuselogid kohandatud XML-
vormingus. Kaasatakse ainult viimase 30 päeva sõnumid.
Süsteemi
sündmuselogi
Windows\Logs\System.xml Windowsi süsteemi sündmuselogid kohandatud XML-
vormingus. Kaasatakse ainult viimase 30 päeva sõnumid.
Terminaliteenused
– LSM-i
toimingusündmuste
logi*
Windows\Logs\LocalSessionManager-Operational.evtx Windowsi sündmuselogi, mis sisaldab teavet RDP-
seansside kohta.
Draiverite
installimislogid
Windows\Logs\catroot2_dberr.txt Sisaldab teavet kataloogide kohta, mis on draiveri
installimise ajal „catstore’i” lisatud.
SetupAPI logid* Windows\Logs\SetupAPI\setupapi*.log Seadme ja rakenduse installimise tekstilogid.
WMI tegevuse
töötav
sündmuselogi
Windows\Logs\WMI-Activity.evtx Windowsi sündmuselogi, mis sisaldab WMI tegevuse
jälgimisandmeid. Kaasatakse ainult viimase 30 päeva
sõnumid.
Rakenduse
sündmuselogi
Windows\Logs\Application.evtx Windowsi rakenduse sündmuselogi fail. Kaasatakse ainult
viimase 30 päeva sõnumid.
Süsteemi
sündmuselogi
Windows\Logs\System.evtx Windowsi süsteemi sündmuselogi fail. Kaasatakse ainult
viimase 30 päeva sõnumid.
Teenuste
registrivõtme sisu
Windows\Services.reg Sisaldab registrivõtme sisu asukohast
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
Selle võtme kogumisest võib olla kasu draiveritega seotud
probleemide korral.
* Windows Vista ja uuem
5
Süsteemi konfiguratsioon
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi Ohu
tuvastamine
Draivide teave Windows\drives.txt
Windows\volumes.txt
Kogutud tekstifail, mis sisaldab
teavet kettadraivide ja
mahtude kohta.
Seadmete teave Windows/devices/*.txt Kogutavad mitu tekstifaili, mis
sisaldavad klasside ja liideste
teavet seadmete kohta.
Võrgukonfiguratsioon Config\network.txt Kogutav tekstifail, mis sisaldab
võrgukonfiguratsiooni. (Valiku
ipconfig /all)
ESET SysInspectori logi Config\SysInspector.xml SysInspectori logi XML-
vormingus.
Winsock LSP kataloog Config\WinsockLSP.txt Netsh winsocki kataloogi
kuvamise käsu väljundi
kogumine.
WFP filtrid* Config\WFPFilters.xml Kogutav WFP-filtrite
konfiguratsioon XML-
vormingus.
Täielik Windowsi
registri sisu
Windows\Registry\* Mitu kogutavat kahendfaili, mis
sisaldavad Windowsi registri
andmeid.
Ajutistes kaustades
olevate failide loend
Windows\TmpDirs\*.txt Mitu kogutavat tekstifaili, mis
sisaldavad süsteemi kasutaja
ajutiste kataloogide sisu,
%windir%/temp, %TEMP% ja
%TMP% katalooge.
Windowsi ajastatud
ülesanded
Windows\Scheduled Tasks\*.* Kogutud mitu xml-faili, mis
sisaldavad kõiki Windows Task
Scheduleri toiminguid, et
aidata tuvastada ründevara,
mis kasutab Task Scheduleri.
Kuna failid asuvad
alamkaustades, kogutakse
terve struktuur.
WMI-varamu Windows\WMI Repository\*.* Kogutud mitu kahendfaili, mis
sisaldavad WMI andmebaasi
andmeid (WMI klasside
metateave, määratlus ja
staatilised andmed). Nende
failide kogumine võib aidata
tuvastada ründevara, mis
kasutab WMI-d püsivuse jaoks
(nt Turla). Kuna WMI failid
võivad asuda alamkaustades,
kogutakse terve struktuur.
6
Süsteemi konfiguratsioon
Windows Serveri rollid
ja funktsioonid
Windows\server_features.txt Tekstifail, mis sisaldab kõigi
Windows Serveri funktsioonide
puud. Iga funktsioon sisaldab
järgmist teavet:
oInstallimise olek
oLokaliseeritud nimi
oKoodi nimi
oOlek (saadaval versioonis
Microsoft Windows Server 2012
ja uuemates versioonides)
* Windows 7 ja uuem
ESET-i installer
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
ESET-i installerilogid ESET\Installer\*.log Installimislogid, mis luuakse ESET NOD32
viirusetõrje ja ESET Smart Security 10
Premiumi toodete installimise ajal.
ESET Remote Administrator logid kehtivad ka ESET Security Management Center kohta.
ESET Security Management Center (ESMC) ja ESET Remote Administrator (ERA)
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
ESMC/ERA serveri
logid
ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip Serveri tootelogide
loomine ZIP-arhiivis.
Sisaldab jälge, olekut
ja viimaste tõrgete
logisid.
ESMC/ERA agendi
logid
ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip Agendi tootelogide
loomine ZIP-arhiivis.
Sisaldab jälge, olekut
ja viimaste tõrgete
logisid.
ESMC/ERA
töötlemisteave ja
tõmmised*
ERA\Server\Process and old
dump\RemoteAdministratorServerDiagnostic<datetime>.zip
Serveri protsessi
tõmmis(ed).
ESMC/ERA
töötlemisteave ja
tõmmised*
ERA\Agent\Process and old
dump\RemoteAdministratorAgentDiagnostic<datetime>.zip
Agendi protsessi
tõmmis(ed).
ESMC/ERA
konfiguratsioon
ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip Serveri
konfiguratsioon ja
rakenduse
teabefailid ZIP-
arhiivis.
ESMC/ERA
konfiguratsioon
ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip Agendi
konfiguratsioon ja
rakenduse
teabefailid ZIP-
arhiivis.
7
ESET Security Management Center (ESMC) ja ESET Remote Administrator (ERA)
ESMC/ERA
võltsväljakutse
tuvastamise anduri
logid
ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip ZIP-fail, mis sisaldab
RD-anduri jälje logi,
viimaste tõrgete logi,
olekulogi,
konfiguratsiooni,
tõmmist/tõmmiseid
ja üldteabe faile.
ESMC/ERA
MDMCore’i logid
ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip ZIP-fail, mis sisaldab
MDMCore’i jälje logi,
viimaste tõrgete logi,
olekulogi,
tõmmist/tõmmiseid
ja üldteabe faile.
ESMC/ERA puhvri
logid
ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip ZIP-fail, mis sisaldab
ERA puhvri jälje logi,
viimaste tõrgete logi,
olekulogi,
konfiguratsiooni,
tõmmist/tõmmiseid
ja üldteabe faile.
ESMC/ERA agendi
andmebaas
ERA\Agent\Database\data.db ESMC/ERA agendi
andmebaasifail.
Apache Tomcati
konfiguratsioon
ERA\Apache\Tomcat\conf\*.* Apache Tomcat
konfiguratsioonifailid,
sisaldab faili
server.xml koopiat
delikaatse teabeta.
Apache Tomcati
logid
ERA\Apache\Tomcat\logs\*.log
ERA\Apache\Tomcat\EraAppData\logs\*.log
ERA\Apache\Tomcat\EraAppData\WebConsole\*.log
Apache Tomcati
logid
tekstivormingus, mis
asuvad Apache
Tomcati installi- või
rakendusekataloogis.
Sisaldab ka
WebConsole'i logisid.
Apache HTTP-
puhverserveri
konfiguratsioon
ERA\Apache\Proxy\conf\httpd.conf Apache HTTP-
puhverserveri
konfiguratsioonifail.
Apache HTTP-
puhverserveri logid
ERA\Apache\Proxy\logs\*.log Apache HTTP-
puhverserveri logid
tekstivormingus.
*ESMC/ERA server või ESMC/ERA agent
ESET-i konfiguratsioon
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
ESET-i toote
konfiguratsioon
info.xml Teabe XML, mis täpsustab
süsteemi installitud ESET-i
toodet. See sisaldab põhilist
süsteemi teavet, installitud toote
teavet ja tootemoodulite loendit.
ESET-i toote
konfiguratsioon
versions.csv Alates versioonist 4.0.3.0 on fail
alati lisatud (ilma sõltuvusteta).
See sisaldab installitud toote
teavet. versions.csv peab ESET
AppData kataloogis olemas
olema, et olla lisatud.
8
ESET-i konfiguratsioon
ESET-i toote
konfiguratsioon
features_state.txt Sisaldab teavet ESET-i toodete
funktsioonide ja olekute kohta
(aktiivne, passiivne,
integreerimata). Fail on alati
kogutav ja pole seotud ühegi
valitava artefaktiga.
ESET-i toote
konfiguratsioon
Configuration\product_conf.xml Eksporditud
tootekonfiguratsiooniga XML-i
loomine.
ESET-i andme- ja
installikataloogi
faililoend
ESET\Config\data_dir_list.txt Tekstifaili loomine, mis sisaldab
ESET AppData-i kaustas ja kõigis
alamkaustades olevate failide
loendit.
ESET-i andme- ja
installikataloogi
faililoend
ESET\Config\install_dir_list.txt Tekstifaili loomine, mis sisaldab
ESET Install-i kaustas ja kõigis
alamkaustades olevate failide
loendit.
ESET-i draiverid ESET\Config\drivers.txt Teabe kogumine installitud ESET-
i draiverite kohta.
ESET-i personaalse
tulemüüri
konfiguratsioon
ESET\Config\EpfwUser.dat ESET-i personaalse tulemüüri
konfiguratsiooniga faili
kopeerimine.
ESET-i registrivõtme
sisu
ESET\Config\ESET.reg Sisaldab HKLM\SOFTWARE\ESET-i
registrivõtme sisu.
Winsock LSP
kataloog
Config/WinsockLSP.txt Netsh winsocki kataloogi
kuvamise käsu väljundi
kogumine.
Viimati rakendatud
poliitika
ESET\Config\lastPolicy.dat ESMC/ERA rakendatud poliitika.
ESETi komponendid ESET\Config\msi_features.txt Kogutud teave saadaolevate
ESET-i toote MSI installeri
komponentide kohta.
HIPS-i
konfiguratsioon
ESET\Config\HipsRules.bin HIPS-i reeglite andmed.
Koduvõrgukaitse
konfiguratsioon
ESET\Config\homenet.dat Koduvõrgukaitse andmed.
Karantiin
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
Teave karantiini
paigutatud failide kohta
ESET\Quarantine\quar_info.txt Karantiinis objektide
loendiga tekstifaili loomine.
Väikesed karantiini
paigutatud failid (< 250
kB)
ESET\Quarantine\*.*(< 250KB) Paigutage karantiini failid,
mis on väiksemad kui 250
kB.
Suured karantiini
paigutatud failid (> 250
kB)
ESET\Quarantine\*.*(> 250KB) Paigutage karantiini failid,
mis on suuremad kui 250
kB.
9
ESET-i logid
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
ESET-i
sündmustelogi
ESET\Logs\Common\warnlog.dat ESET-i
tootesündmuse logi
kahendvormingus.
ESET-i tuvastatud
ohtude logi
ESET\Logs\Common\virlog.dat ESET-i tuvastatud
ohtude logi
kahendvormingus.
ESET-i
arvutikontrollide
logid
ESET\Logs\Common\eScan\*.dat ESET-i arvuti
kontrollimise logi(d)
kahendvormingus.
ESET HIPS-i logi* ESET\Logs\Common\hipslog.dat ESET-i HIPS-i logi
kahendvormingus.
ESET-i
vanemakontrolli
logid*
ESET\Logs\Common\parentallog.dat ESET-i vanemliku
juhtimise logi
kahendvormingus.
ESET-i
seadmejuhtimise
logi*
ESET\Logs\Common\devctrllog.dat ESET-i seadme
juhtimise logi
kahendvormingus.
ESET-i
veebikaamera
kaitse logi*
ESET\Logs\Common\webcamlog.dat ESET-i
veebikaamera
kaitse logi
kahendvormingus.
ESET-i
serveriandmebaasi
nõudeskannimise
logid
ESET\Logs\Common\ServerOnDemand\*.dat ESET-i serveri
nõudelogi(d)
kahendvormingus.
ESET Hyper-V
serveri skannimise
logid
ESET\Logs\Common\HyperVOnDemand\*.dat ESET Hyper-V
serveri skannimise
logi(d)
kahendvormingus.
MS OneDrive'i
kontrollilogid
ESET\Logs\Common\O365OnDemand\*.dat MS OneDrive'i
kontrollilogi(d)
kahendvormingus.
ESET-i blokeeritud
failide logi
ESET\Logs\Common\blocked.dat ESET-i blokeeritud
failide logi(d)
kahendvormingus.
ESET-i saadetud
failide logi
ESET\Logs\Common\sent.dat ESET-i saadetud
failide logi(d)
kahendvormingus.
ESETi auditilogi ESET\Logs\Common\audit.dat ESET-i auditilogi(d)
kahendvormingus.
* Valik kuvatakse ainult siis, kui fail on olemas.
ESET-i võrgulogid
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
ESET-i võrgukaitse
logi*
ESET\Logs\Net\epfwlog.dat ESET-i võrgukaitse logi
kahendvormingus.
10
ESET-i võrgulogid
ESET-i filtritud
veebisaitide logi*
ESET\Logs\Net\urllog.dat ESET-i veebisaitide logi
kahendvormingus.
ESET-i veebikontrolli
logi*
ESET\Logs\Net\webctllog.dat ESET-i veebikasutuse kontrolli
logi kahendvormingus.
ESET-i PCAP logid ESET\Logs\Net\EsetProxy*.pcapng ESET-i PCAP logide
kopeerimine.
* Valik kuvatakse ainult siis, kui fail on olemas.
ESET-i diagnostika
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
Kohaliku vahemälu
andmebaas
ESET\Diagnostics\local.db ESET-i kontrollitud failide
andmebaas.
Üldised toote
diagnostilised logid
ESET\Diagnostics\*.* Failid (mini-tõmmised) ESET-i
diagnostika kaustast.
ECP diagnostika
logid
ESET\Diagnostics\ECP\*.xml ESET-i sideprotokolli
diagnostikalogid luuakse
tooteaktiveerimisest ja
aktiveerimisserverite sidest
tulenevate probleemide korral.
ESET-i turvaline autentimine
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
ESA logid ESA\*.log ESET-i turvalisest autentimisest eksporditud
logi(d).
ESET Enterprise Inspector
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
EEI Serveri logid EEI\Server\Logs\*.log Serveri tootetekstilogid.
EEI Agendi logid EEI\Agent\Logs\*.log Agendi tootetekstilogid.
EEI Serveri
konfigureerimine
EEI\Server\eiserver.ini Fail .ini, mis sisaldab Serveri
tootekonfiguratsiooni.
EEI Agendi
konfigureerimine
EEI\Agent\eiagent.ini Fail .ini, mis sisaldab Agendi
tootekonfiguratsiooni.
EEI Serveri poliitika EEI\Server\eiserver.policy.ini Fail .ini, mis sisaldab Serveri
tootepoliitikat.
EEI Agendi poliitika EEI\Agent\eiagent.policy.ini Fail .ini, mis sisaldab Agendi
tootepoliitikat.
11
ESET Enterprise Inspector
EEI Serveri serdid EEI\Server\Certificates\*.* Sisaldab toote Server
kasutatavaid sertimisfaile. Kuna
failid asuvad alamkaustades,
kogutakse terve struktuur.
EEI Agendi serdid EEI\Agent\Certificates\*.* Sisaldab toote Agent kasutatavaid
sertimisfaile. Kuna failid asuvad
alamkaustades, kogutakse terve
struktuur.
EEI Serveri tõmmised EEI\Server\Diagnostics\*.* Serveri tootetõmmisefailid.
MySQL Serveri
konfigureerimine
EEI\My SQL\my.ini Fail .ini, mis sisaldab MySQL
Serveri konfiguratsiooni, mida
kasutab EEI Serveri toode.
MySQL Serveri logid EEI\My SQL\EEI.err MySQL Serveri tõrketekstilogi,
mida kasutab EEI Serveri toode.
ESET Full Disk Encryption
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
EFDE-logid EFDE\AIS\Logs\*.*
EFDE\Core\*.log
Eksporditud logid (AIS ja Core)
rakendusest ESET Full Disk Encryption.
EFDE-litsentsi andmed EFDE\AIS\Licesne\*.* EFDE litsentsiandmete failid.
EFDE konfiguratsioon EFDE\AIS\lastpolicy.dat Sisaldab EFDE konfiguratsiooni.
ESET-i meililogid (ESET Mail Security for Exchange, ESET Mail Security for Domino)
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
ESET-i
rämpspostilogi
ESET\Logs\Email\spamlog.dat ESET-i rämpspostilogi
kahendvormingus.
ESET-i halli
nimekirja logi
ESET\Logs\Email\greylistlog.dat ESET-i halli nimekirja
logi kahendvormingus.
ESET-i SMTP-kaitse
logi
ESET\Logs\Email\smtpprot.dat ESET-i SMTP-kaitse logi
kahendvormingus.
ESET-i meiliserveri
kaitse logi
ESET\Logs\Email\mailserver.dat ESET-i meiliserveri
kaitse logi
kahendvormingus.
ESET-i
meilitöötlemise
diagnostikalogid
ESET\Logs\Email\MailServer\*.dat ESET-i diagnostikameili
töötlemislogid
kahendvormingus,
otsene koopia kettalt.
ESET-i
rämpspostilogi*
ESET\Logs\Email\spamlog.dat ESET-i rämpspostilogi
kahendvormingus.
ESET-i
rämpspostitõrje
konfiguratsioon ja
diagnostikalogid
ESET\Logs\Email\Antispam\antispam.*.log
ESET\Config\Antispam\*.*
ESET-i rämpstõrje
konfiguratsiooni ja
diagnostikalogide
kopeerimine.
* Valik kuvatakse ainult siis, kui fail on olemas.
12
ESET-i SharePointi logid (ESET Security for SharePoint)
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
ESET SHPIO.log ESET\Log\ESHP\SHPIO.log ESET-i diagnostikalogi utiliidist SHPIO.exe.
Tootepõhised logid – valikud on saadaval konkreetse toote kohta.
Domino (ESET Mail Security for Domino)
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
Domino
IBM_TECHNICAL_SUPPORT-i
logid + notes.ini
LotusDomino\Log\notes.ini IBM Domino
konfiguratsioonifail.
Domino
IBM_TECHNICAL_SUPPORT-i
logid + notes.ini
LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.* IBM Domino
uuemad kui 30-
päevased logid.
MS SharePoint (ESET Security for SharePoint)
Artefakti
nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
MS
SharePointi
logid
SharePoint\Logs\*.log MS SharePointi uuemad kui 30-päevased logid.
SharePointi
registrivõtme
sisu
SharePoint\WebServerExt.reg Sisaldab registrivõtme sisu asukohast
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
Tools\Web Server Extensions. Saadaval ainult siis,
kui ESET Security for SharePoint on installitud.
MS Exchange (ESET Mail Security for Exchange)
Artefakti nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
MS Exchange’i
transpordiagentide
registreerimine
Exchange\agents.config MS Exchange’i
transpordiagentide
registreerimise
konfiguratsioonifail. Microsoft
Exchange Server 2007-le ja
uuemale.
MS Exchange’i
transpordiagentide
registreerimine
Exchange\sinks_list.txt MS Exchange’i sündmuse
neelude registreerimise tõmmis.
Microsoft Exchange Server 2000-
le ja 2003-le.
MS Exchange EWS-i logid Exchange\EWS\*.log EWS Exchange Serveri logide
kogumine.
13
Kerio Connect (ESET Security for Kerio)
Artefakti
nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
Kerio Connecti
konfiguratsioon
Kerio\Connect\mailserver.cfg Kerio Connecti
konfiguratsioonifail
Kerio Connecti
logid
Kerio\Connect\Logs\{mail,error,security,debug,warning}.log Valitud Kerio
Connecti logifailid.
Kerio Control (ESET Security for Kerio)
Artefakti
nimi
Kogumise profiil
Asukoht / faili nimi Kirjeldus
Vaikimisi
Ohu
tuvastamine
Kerio Controli
konfiguratsioon
Kerio\Connect\winroute.cfg Kerio Connecti
konfiguratsioonifail.
Kerio Controli
logid
Kerio\Connect\Logs\{alert,error,security,debug,warning}.log Valitud Kerio
Controli logifailid.
ESET Log Collector käsurida
Käsurea liides on funktsioon, mis võimaldab kasutada ESET Log Collector-d ilma GUI-ta. Näiteks serverituuma või
nanoserveri installimisel või juhul, kui teil on vaja või lihtsalt soovite kasutada käsurida GUI asemel. Olemas on
täiendav ainult käsurea funktsioon, mis teisendab ESET-i kahendlogifaili XML-vormingusse või tekstifailiks.
Käsurea spikker – käivitage start /wait ESETLogCollector.exe /? süntaksispikri kuvamiseks. See
loetleb ka saadaolevad sihtmärgid (artefaktid), mida saab koguda. Loendi sisu oleneb tuvastatud ESET-i turbetoote
tüübist, mis on installitud süsteemi, kus ESET Log Collector-d kasutate. Saadaval on ainult asjakohased artefaktid.
MÄRKUS.
Soovitame kasutada eesliidet start /wait, kui käsu käivitate, kuna ESET Log Collector on eelkõige GUI tööriist
ja Windowsi käsurea tõlgendaja (kest) ei oota täitmisfaili lõppu ning naaseb selle asemel kohe ja kuvab uue viiba.
Eesliite start /wait kasutamisel panete Windowsi kesta ESET Log Collector lõppu ootama.
Kui kasutate ESET Log Collector-d esmakordselt, nõuab ESET Log Collector teilt lõppkasutaja litsentsilepinguga
(EULA) nõustumist. EULA-ga nõustumiseks käivitage kõige esimene käsk parameetriga /accepteula. Kõik
edasised käsud käivitatakse ilma /accepteula parameetrita. Kui otsustate lõppkasutaja litsentsilepingu (EULA)
tingimustega mitte nõustuda ja te ei kasuta parameetrit /accepteula, siis teie käsku ei täideta. Lisaks ei tohi
parameeter /accepteula olla määratud esimeseks parameetriks, näiteks: start /wait
ESETLogCollector.exe /accepteula /age:90 /otype:fbin
/targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip
Kasutamine.
[start /wait] ESETLogCollector.exe [options] <out_zip_file> – kogub logisid määratud
valikute kohaselt ja loob ZIP-vormingus väljund-arhiivifaili.
[start /wait] ESETLogCollector.exe /Bin2XML [/All] <eset_binary_log>
<output_xml_file> – teisendab kogutud ESET-i kahendlogifaili (.dat) XML-failiks.
[start /wait] ESETLogCollector.exe /Bin2Txt [/All] <eset_binary_log>
<output_txt_file> – teisendab kogutud ESET-i kahendlogifaili (.dat) tekstifailiks.
Suvandid:
14
/Age:<päeva> – kogutud logikirjete maksimaalne vanus päevades. Väärtuste vahemik on 0–999, 0 tähendab
lõpmatust, vaikeväärtus on 30.
/OType:<xml|fbin|obin> – ESET-i logide kogumise vorming.
xml – filtritud XML
fbin – filtritud kahendfail (vaikimisi)
obin – algne kahendfail kettalt
/All – tõlgitakse ka kustutatuna märgitud kirjed. See parameeter kohaldub ainult kogutud ESET-i
kahendlogifaili teisendamisel XML-iks või TXT-ks.
/Targets:<id1>[,<id2>...] – kogutavate artefaktide loend. Kui seda pole määratud, kogutakse
vaikekomplekt. Eriväärtus „all” tähendab kõiki sihtmärke.
/NoTargets:<id1>[,<id2>...] – vahelejäetavate artefaktide loend. Seda rakendatakse pärast loendit
Sihtmärkid.
/Profile:<default|threat|all> - kogumisprofiil on määratletud sihtmärkide kogum.
Default – üldisteks toesündmusteks kasutatav profiil
Threat – ohutuvastussündmustega seotud profiil
All – valib kõik saadaolevad sihtmärgid
MÄRKUS.
Kui valite kogumisvormingu Filtreeritud XML või Filtreeritud kahendfail, tähendab filtreerimine, et kogutakse
ainult viimase päevade arvu kirjed (selle määrab parameeter /Age:<days>). Valiku Algne kahendfail kettalt
korral eiratakse parameetrit /Age:<days> kõigi ESET-i logide puhul. Teiste logide puhul (nt Windowsi sündmuste
logid, Microsoft SharePointi logid või IBM Domino logid) rakendatakse parameetrit /Age:<days> nii, et mitte-
ESET-i logikirjed saab piirata määratud päevade arvuga ja algseid ESET-i kahendfaile saab vanusepiirita koguda
(kopeerida).
MÄRKUS.
Parameeter /All võimaldab kõigi logikirjete teisendamist, sh need, mis GUI kaudu kustutati, kuid mis on olemas
kustutatuks märgitud algses kahendfailis (logikirjed, mida GUI-s näha pole).
15
NÄIDE
See näidiskäsk määrab keeleks itaalia keele. Saate kasutada kõiki saadaolevaid keeli: ARE, BGR, CSY, DAN, DEU,
ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS,
SKY, SLV, SVE, THA, TRK, UKR
/lang: ITA
16
NÄIDE
See näidiskäsk kogub ESET-i tootekonfiguratsiooni, teavet karantiinis failide kohta, ESET-i sündmuste logi, ESET-i
tuvastatud ohtude logi ja ESET-i arvuti kontrollimise logisid filtreeritud kahendfaili kogumisrežiimis viimase 90
päeva kirjetega.
start /wait ESETLogCollector.exe /age:90 /otype:fbin
/targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip
NÄIDE
See näidiskäsk kogub töötavaid protsesse, süsteemi sündmuste logi, ESET-i SysInspectori logi, ESET-i
tootekonfiguratsiooni, ESET-i sündmuste logi ja üldisi tootediagnostika logisid algses kahendfailis ketta
kogumisrežiimist.
start /wait ESETLogCollector.exe /otype:obin
/targets:proc,evlogsys,sysin,prodcnf,warn,diag collected_diag_logs.zip
NÄIDE
See näidiskäsk kogub ERA agendi logisid, ERA serveri logisid, ERA konfiguratsiooni ja ERA ühendamata seadmete
tuvastuse anduri logisid filtreeritud XML-i kogumisrežiimis viimase 10 päeva kirjetega.
start /wait ESETLogCollector.exe /age:10 /otype:xml
/targets:eraag,erasrv,eraconf,erard collected_era_logs.zip
NÄIDE
See näidiskäsk teisendab kogutud ESET-i kahendlogifaili (arvuti kontrollimise logi) XML-failivormingusse koos kõigi
kirjetega (sh kustutatuks märgitud logid).
start /wait ESETLogCollector.exe /bin2xml /all
C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.xmlSamamoodi
teisendatakse kogutud arvuti kontrollimise logifail tekstifailiks, kuid jäetakse välja kustutatuks märgitud logid.
start /wait ESETLogCollector.exe /bin2txt
C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.txt
Saadaolevad sihtmärgid
See on tervikloend kõigist võimalikest sihtmärkidest, mida saab koguda ESET Log Collector käsureaga, mis on
määratud valikuga /Targets:.
MÄRKUS.
Te ei pruugi näha selles loendis kõiki sihtmärke. See on nii, kuna teie süsteemis saadaolevad sihtmärgid lisatakse
loendisse alles siis, kui käivitate käsurea spikri: start /wait ESETLogCollector.exe /? Sihtmärgid, mida
loendis pole, ei kehti teie süsteemi või konfiguratsiooni puhul.
Proc Töötavad protsessid (avatud pide ja laaditud DLL-id)
Drives Draivide teave
Devices Seadmete teave
SvcsReg Teenuste registrivõtme sisu
EvLogApp Rakenduse sündmuselogi
EvLogSys Süsteemi sündmuselogi
SetupAPI SetupAPI logid
EvLogLSM Terminaliteenused – LSM-i toimingusündmuste logi
EvLogWMI WMI tegevuse käigusolev sündmuselogi
SysIn ESET SysInspectori logi
DrvLog Draiverite installimislogid
NetCnf Võrgukonfiguratsioon
WFPFil WFP filtrid
InstLog ESET-i installerilogid
EfdeLogs EFDE-logid
EfdeLic EFDE-litsentsi andmed
17
EfdeCfg EFDE konfiguratsioon
EraAgLogs ERA-agendi logid
EraSrv ERA-serveri logid
EraConf ERA konfiguratsioon
EraDumps ERA töötlemisteave ja tõmmised
EraRD ERA võltsväljakutse tuvastamise anduri logid
EraMDM ERA MDMCore’i logid
EraProx ERA puhverserveri logid
EraTomcatCfg Apache Tomcati konfiguratsioon
EraTomcatLogs Apache Tomcati logid
EraProxyCfg Apache HTTP-puhverserveri konfiguratsioon
EraProxyLogs Apache HTTP-puhverserveri logid
EsaLogs ESA logid
ProdCnf ESET-i toote konfiguratsioon
DirList ESET-i andme- ja installikataloogi faililoend
Drivers ESET-i draiverid
EsetReg ESET-i registrivõtme sisu
EsetCmpts ESETi komponendid
QInfo Teave karantiini paigutatud failide kohta
QFiles Karantiini paigutatud failid
QSmallFiles Väikesed karantiini paigutatud failid
QBigFiles Suured karantiini paigutatud failid
Warn ESET-i sündmustelogi
Threat ESET-i tuvastatud ohtude logi
OnDem ESET-i arvutikontrollide logid
Hips ESET HIPS-i logi
Fw ESET-i võrgukaitse logi
FwCnf ESET-i personaalse tulemüüri konfiguratsioon
Web ESET-i filtritud veebisaitide logi
Paren ESET-i vanemakontrolli logid
Dev ESET-i seadmejuhtimise logi
WCam ESET-i veebikaamera kaitse logi
WebCtl ESET-i veebikontrolli logi
OnDemDB ESET-i serveriandmebaasi nõudeskannimise logid
HyperV ESET Hyper-V serveri skannimise logid
Spam ESET-i rämpspostilogi
Grey ESET-i halli nimekirja logi
SMTPProt ESET-i SMTP-kaitse logi
Email ESET-i meiliserveri kaitse logi
EmDiag ESET-i meilitöötlemise diagnostikalogid
ScanCache Kohaliku vahemälu andmebaas
SpamDiag ESET-i rämpspostitõrje konfiguratsioon ja diagnostikalogid
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17
  • Page 18 18
  • Page 19 19
  • Page 20 20
  • Page 21 21

ESET Log Collector 4.2 Omaniku manuaal

Tüüp
Omaniku manuaal
See käsiraamat sobib ka