ESET Log Collector 4.2 Návod na obsluhu

Typ
Návod na obsluhu
ESET Log Collector
Uživatelská příručka
Klikněte sem pro zobrazení online verze tohoto dokumentu
Copyright ©2021 ESET, spol. s r.o.
ESET Log Collector byl vyvinut společností ESET, spol. s r.o.
Pro více informací navštivte www.eset.cz.
Všechna práva vyhrazena. Žádná část této publikace nesmí být reprodukována žádným prostředkem, ani
distribuována jakýmkoliv způsobem bez předchozího písemného povolení společnosti ESET, spol. s r.o.
ESET, spol. s r. o. si vyhrazuje právo změny programových produktů popsaných v této publikaci bez předchozího
upozornění.
Technická podpora: www.eset.cz/podpora
REV. 2021-05-20
1 Představení 1 ...................................................................................................................................................
1.1 Nápověda 1 ..................................................................................................................................................
2 Uživatelské rozhraní ESET Log Collector 2 ......................................................................................
2.1 Seznam objektů k sesbírání 14 .................................................................................................................
3 Příkazový řádek ESET Log Collector 14 .............................................................................................
3.1 Dostupné cíle 17 ..........................................................................................................................................
1
Představení
ESET Log Collector je nástroj určený pro sběr specifických dat z počítače, jako je konfigurace produktu a protokoly,
které specialistům technické podpory ESET pomohou s řešením vašeho problému s produktem ESET. Před
zahájením sběru dat můžete vybrat objekty, které chcete ze systému sesbírat, nastavit jejich maximální stáří,
formát exportovaných protokolů z produktu ESET a název výsledného ZIP archivu. Pokud spustíte ESET Log
Collector v systému, ve kterém není instalován bezpečnostní produkt ESET, sesbírány budou pouze protokoly
událostí Windows a informace o běžících procesech.
Poznámka
ESET Log Collector má stejné systémové požadavky jako vámi používaný bezpečnostní produkt ESET. ESET Log
Collector spustíte na libovolné verzi operačního systému Microsoft Windows.
ESET Log Collector je nástroj, který automaticky sesbírá informace a protokoly z počítače za účelem urychlení
řešení problému s technickou podporou ESET. Při kontaktování technické podpory vás mohou její specialisté
požádat o dodání protokolů z vašeho počítače. Nejsnadněji je získáte právě prostřednictvím nástroje ESET Log
Collector.
Ve spustitelném souboru nástroje ESET Log Collector jsou k dispozici všechny jazyky. Díky tomu si můžete v
průběhu spuštění nástroje kdykoli jazyk změnit bez nutnosti stažení konkrétní lokalizované verze. Jazyk bude
detekován automaticky dle nastavení systému, případně si jej zvolte ručně. Pro ruční výběr jazyka využijte jeden z
následujících postupů:
1. V příkazovém řádku použijte přepínač /lang:<language_code>
2. Přejmenujte soubor na ESETLogCollector_<language_code>.exe
Dostupné jazykové kódy: ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS, CHT, ITA,
JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR
Poznámka
ESET Log Collector je distribuován jako 32-bitová aplikace. Pro plnohodnotný běh na 64-bitových systémech
obsahuje ESET Log Collector vestavěnou 64-bitovou binárku, která se na 64-bitových systémech automaticky
rozbalí a spustí z dočasné složky (Temp).
ESET Log Collector můžete používat ve dvou režimech:
Uživatelské grafické rozhraní (GUI)
Příkazový řádek (CLI) (od verze 1.8). Pokud nezadáte žádný parametr, spustíte grafické rozhraní nástroje ESET
Log Collector.
Při použití grafického rozhraní můžete ESET protokoly sesbírat pouze v originální binární podobě a jako
filtrovaná binární data (tato možnost je výchozí). Při vybrání filtrovaných binárních dat můžete definovat dobu,
za kterou se mají sesbírat. Maximální počet exportovaných záznamů z jednoho protokolu je 1 milion řádků.
Poznámka
ESET Log Collector dále umožňuje převod sesbíraných ESET binárních protokolů (.dat) do čitelné podoby (XML
nebo textového souboru). Mějte však na paměti, že tato možnost je dostupná pouze v příkazovém řádku.
Nápověda
Pro zobrazení aktuální verze online příručky stiskněte klávesu F1 nebo klikněte na tlačítko ?.
2
Uživatelské rozhraní ESET Log Collector
ESET Log Collector si stáhněte z webových stránek společnosti ESET a spusťte. Odsouhlaste licenční ujednání
(EULA) a následně se vám zobrazí uživatelské rozhraní ESET Log Collector. Pokud s licenčním ujednáním
nesouhlasíte, klikněte na tlačítko Zrušit a ESET Log Collector se ukončí.
Z rozbalovacího menu Profil vyberte jeden z předpřipravených profilů pro sběr dat nebo ručně vyberte data, která
chcete sesbírat. Dostupné profily:
Standardní – tento profil je standardně vybrán a sesbírá většinu dat pro řešení nejčastějších problémů.
Používá se pro řešení obecných technických případů. Více informací o sbíraných datech naleznete v kapitole
seznam objektů.
Detekované hrozby – vychází z výchozího profilu, ale na rozdíl od něj se sběr dat z v tomto profilu zaměřuje
na objekty, které mohou vést k úspěšnému řešení infiltrace počítače. Více informací o sbíraných datech
naleznete v kapitole seznam objektů.
Vše – profil, ve kterém se sesbírají data ze všech dostupných cílů.
Žádná data – vybráním tohoto profilu se zruší výběr všech objektů vybraných k sesbírání.
Vlastní – tento profil se aktivuje automaticky, pokud provedete ruční zásah do seznamu objektů vybraných k
3
sesbírání a váš výběr se liší od výše uvedených předdefinovaných profilů.
Poznámka
Seznam dostupných objektů k sesbírání se může měnit v závislosti na instalovaném bezpečnostním produktu
ESET, operačním systému, jeho konfiguraci a součástech operačního systému Microsoft Server. Vždy se zobrazí
pouze relevantní dostupné možnosti.
Dále nastavte Stáří protokolů [dní] a vyberte režim sběru dat (standardně je vybrána možnost Filtrovaná
binární data).
Režim filtrování protokolů produktu ESET:
Filtrovaná binární data – po vybrání této možnosti se sesbírají data za období definované v části Stáří
protokolů [dní].
Originální binární data z disku – vybráním této možnosti získáte všechny protokoly produktu ESET v
originální binární podobě bez ohledu na limit stanovený v části Stáří protokolů [dní]. Nicméně tento limit se stále
aplikuje na protokoly, které nepatří produktu ESET – například protokol událostí Windows, protokoly Microsoft
SharePoint nebo IBM Domino, atp.
V případně potřeby můžete změnit složku, do které chcete výsledný archiv s protokoly uložit. Pro její změnu
klikněte na , najděte požadovanou složku a potvrďte kliknutím na tlačítko Uložit. Název archivu je automaticky
předdefinován. Po dokončení konfigurace sběru dat klikněte na tlačítko Sesbírat. Sběr dat můžete kdykoli přerušit
kliknutím na tlačítko Zrušit. Po úspěšném dokončení operace nebo při výskytu chyby se zobrazí informační okno. V
případě výskytu chyby se zároveň dále zobrazí související informace.
Detailní informace o průběhu naleznete v části Textový protokol. Po dokončení sběru se v protokolu zobrazí
seznam všech sesbíraných souborů. Úspěšným sesbíráním se rozumí vytvoření archivu (například emsx_logs.zip,
ees_logs.zip neboeea_logs.zip) ve vámi definované cestě. Více informací o sbíraných datech naleznete v kapitole
seznam objektů.
Seznam objektů k sesbírání
V této kapitole uvádíme popis souborů, které naleznete ve výsledném .zip archivu. Popis je rozdělen do několika
sekcí, v závislosti na typu sesbíraných dat.
Umístění / Název souboru Popis
metadata.txt Obsahuje informace o čase vytvoření .zip archivu, verzi ESET Log Collector,
bezpečnostního produktu ESET a základní informace o licenci.
collector_log.txt Kopie textového protokolu, ve kterém jsou uvedeny informace o provedených akcí
(od spuštění sběru dat až po vytvoření .zip archivu).
4
Procesy Windows
Název objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Běžící procesy
(otevřené
popisovače a
načtené DLL)
Windows\Processes\Processes.txt Textový soubor obsahující
seznam běžících procesů na
daném počítači. U každého
procesu jsou uvedeny následující
informace:
oPID
oPID nadřazeného procesu
oPočet vláken
oPočet otevřených popisovačů
seskupených podle typu
oNačtené moduly
oUživatelský účet, pod kterým je
proces spuštěn
oVyužití paměti
oČasové razítko startu
oČas uživatele a jádra
oI/O statistiky
oPříkazový řádek
Běžící procesy
(otevřené
popisovače a
načtené DLL)
Windows\ProcessesTree.txt Textový soubor obsahující
seznam běžících procesů na
daném počítači. U každého
procesu jsou uvedeny následující
informace:
oPID
oUživatelský účet, pod kterým je
proces spuštěn
oČasové razítko startu
oPříkazový řádek
Protokoly Windows
Název
objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Protokol
událostí
aplikací
Windows\Logs\Application.xml Protokoly událostí aplikací Windows ve vlastním formátu
XML. Záznamy jsou pouze za posledních 30 dní.
Protokol
událostí
systému
Windows\Logs\System.xml Protokoly událostí systému Windows ve vlastním formátu
XML. Záznamy jsou pouze za posledních 30 dní.
Terminálové
služby –
LSM
protokol
událostí*
Windows\Logs\LocalSessionManager-Operational.evtx Protokol událostí ve Windows obsahuje informace o RDP
relacích.
Protokoly z
instalace
ovladačů
Windows\Logs\catroot2_dberr.txt Obsahuje informace o katalogu, který byl v průběhu
instalace ovladače přidán do "catstore".
SetupAPI
protokoly*
Windows\Logs\SetupAPI\setupapi*.log Textové protokoly z instalace zařízení a aplikací.
Protokol
událostí
aktivit WMI
Windows\Logs\WMI-Activity.evtx Protokol událostí systému Windows obsahující data
trasování aktivity WMI. Záznamy jsou pouze za posledních
30 dní.
Protokol
událostí
aplikací
Windows\Logs\Application.evtx Soubor protokolů událostí aplikací Windows. Záznamy
jsou pouze za posledních 30 dní.
5
Protokoly Windows
Protokol
událostí
systému
Windows\Logs\System.evtx Soubor protokolů událostí systému Windows. Záznamy
jsou pouze za posledních 30 dní.
Obsah klíče
registru
služeb
Windows\Services.reg Obsah klíče registru
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
Získání klíče je užitečné v případě problémů s ovladači.
*Platí pro Windows Vista a novější
Nastavení systému
Název objektu
Profil
Umístění / Název souboru Popis
Výchozí Detekované
hrozby
Informace o
jednotkách
Windows\drives.txt
Windows\volumes.txt
Textový soubor obsahující
informace o připojených discích a
jednotkách.
Informace o
zařízení
Windows/devices/*.txt Více textových souborů obsahující
informace o třídách a rozhraních
jednotlivých zařízení.
Nastavení sítě Config\network.txt Získaný textový soubor obsahuje
informace o konfiguraci sítě.
(Výstup příkazu ipconfig /all)
ESET
SysInspector
protokol
Config\SysInspector.xml Protokol z aplikace SysInspector ve
formátu XML.
Winsock LSP
katalog
Config\WinsockLSP.txt Výstup příkazu netsh winsock show
catalog.
WFP filtry* Config\WFPFilters.xml Obsah konfigurace WFP filtrů v XML
formátu.
Kompletní obsah
registru Windows
Windows\Registry\* Binární soubory obsahující data z
registru Windows.
Seznam souborů
v dočasných
složkách
Windows\TmpDirs\*.txt Více textových souborů se
seznamem souborů v uživatelských
dočasných adresářích
%windir%/temp, %TEMP% a
%TMP%.
Naplánované
úlohy Windows
Windows\Scheduled Tasks\*.* Ve více xml souborech naleznete
všechny úlohy z Plánovače úloh
systému Windows, což vám může
pomoci odhalit malware, který
zneužívá Plánovač úloh. Protože
jsou soubory umístěny v
podsložkách, je shromažďována
celá struktura.
WMI repozitář Windows\WMI Repository\*.* Ve více binárních souborech
naleznete data databáze WMI
(meta-informace, definice a statická
data tříd WMI). Shromáždění těchto
souborů vám může pomoci při
identifikaci malware, který používá
WMI v rámci zajištění perzistence v
systému (například Turla). Protože
jsou soubory umístěny v
podsložkách, je shromažďována
celá struktura.
6
Nastavení systému
Role a funkce
Windows Server
Windows\server_features.txt Textový soubor obsahující strom
všech funkcí Windows Server. U
každé funkce jsou uvedeny
následující informace:
oInstalovaný stav
oLokalizovaný název
oKódové jméno
oStav (dostupné od Microsoft
Windows Server 2012)
*Platí pro Windows 7 a novější
Instalátor ESET
Název objektu
Profil
Umístění / Název
souboru
Popis
Výchozí
Detekované
hrozby
Protokoly
instalačního balíčku
ESET
ESET\Installer\*.log Instalační protokoly vytvořené
automaticky při instalaci produktu
ESET (ESET NOD32 Antivirus, ESET
Smart Security, ESET Smart Security
Premium).
Protokoly ESET Remote Administrator, platí rovněž pro ESET Security Management Center.
ESET Security Management Center (ESMC) a ESET Remote Administrator (ERA)
Název
objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Protokoly
ERA/ESMC
serveru
ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip Vytvoří v
archivu
složku s
protokoly
serveru.
Obsahuje
trace, status
a last-error
protokoly.
Protokoly
ERA/ESMC
agenta
ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip Vytvoří v
archivu
složku s
protokoly
agenta.
Obsahuje
trace, status
a last-error
protokoly.
Informace a
výpisy
procesu
ERA/ESMC
komponent*
ERA\Server\Process and old
dump\RemoteAdministratorServerDiagnostic<datetime>.zip
Vytvoří
dumpy
serveru.
Informace a
výpisy
procesu
ERA/ESMC
komponent*
ERA\Agent\Process and old
dump\RemoteAdministratorAgentDiagnostic<datetime>.zip
Vytvoří
dumpy
agenta.
7
ESET Security Management Center (ESMC) a ESET Remote Administrator (ERA)
Nastavení
ERA/ESMC
komponent
ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip Do archivu
přidá
aplikační
informace a
konfiguraci
serveru.
Nastavení
ERA/ESMC
komponent
ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip Do archivu
přidá
aplikační
informace a
konfiguraci
agenta.
Protokoly
ESET Rogue
Detection
Sensor
ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip Do archivu
přidá trace
log, last-
error log,
status log,
konfiguraci,
dump a
informační
soubory RD
Sensoru.
Protokoly
ERA/ESMC
MDMCore
ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip Do archivu
přidá trace
log, last-
error log,
status log,
konfiguraci,
dump a
informační
soubory
MDMCore.
Protokoly
ERA Proxy
ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip Do archivu
přidá trace
log, last-
error log,
status log,
konfiguraci,
dump a
informační
soubory ERA
Proxy.
Databáze
ESMC/ERA
Agenta
ERA\Agent\Database\data.db Databázový
soubor
ESMC/ERA
Agenta.
Konfigurace
Apache
Tomcat
ERA\Apache\Tomcat\conf\*.* Konfigurační
soubory
Apache
Tomcat,
obsahuje
rovněž kopii
souboru
server.xml
bez citlivých
informací.
8
ESET Security Management Center (ESMC) a ESET Remote Administrator (ERA)
Protokoly
Apache
Tomcat
ERA\Apache\Tomcat\logs\*.log
ERA\Apache\Tomcat\EraAppData\logs\*.log
ERA\Apache\Tomcat\EraAppData\WebConsole\*.log
Protokoly
Apache
Tomcat v
textové
podobě
nacházející
se v
instalační
složce
Apache
Tomcat
nebo složce
s aplikací.
Obsahuje
rovněž
protokoly
WebConsole.
Konfigurace
Apache
HTTP Proxy
ERA\Apache\Proxy\conf\httpd.conf Konfigurační
soubor
Apache
HTTP Proxy.
Protokoly
Apache
HTTP Proxy
ERA\Apache\Proxy\logs\*.log Protokoly
Apache
HTTP Proxy
v textové
podobě.
*ESMC/ERA Server nebo ESMC/ERA Agent
Nastavení produktu ESET
Název objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Nastavení
produktu ESET
info.xml XML soubor obsahující základní
informace o nainstalovaném
produktu ESET. Obsahuje základní
informace o systému, licenci a
použitých modulech.
Nastavení
produktu ESET
versions.csv Soubor versions.csv je od verze
4.0.3.0 sesbírán vždy, bez dalších
závislostí, pokud existuje ve složce
ESET AppData. Obsahuje informace
o nainstalovaném produktu.
Nastavení
produktu ESET
features_state.txt Informace o funkcích produktu a
jejich stavech (aktivní, neaktivní,
neintegrováno). Soubor je sesbírán
vždy, bez ohledu na vybraný objekt.
Nastavení
produktu ESET
Configuration\product_conf.xml Exportovaná konfigurace produktu
ve formátu XML.
Seznam souborů v
datových a
instalačních
složkách produktu
ESET
ESET\Config\data_dir_list.txt Textový soubor obsahující seznam
souborů ve složce ESET AppData a
podsložkách.
9
Nastavení produktu ESET
Seznam souborů v
datových a
instalačních
složkách produktu
ESET
ESET\Config\install_dir_list.txt Textový soubor obsahující seznam
souborů ve složce ESET Install a
podsložkách.
ESET ovladače ESET\Config\drivers.txt Informace o nainstalovaných ESET
ovladačích.
Nastavení ESET
Personálního
firewallu
ESET\Config\EpfwUser.dat Kopie souboru s konfigurací ESET
Personálního firewallu.
Klíče registru
produktu ESET
ESET\Config\ESET.reg Obsah klíče HKLM\SOFTWARE\ESET
Winsock LSP
katalog
Config/WinsockLSP.txt Výstup příkazu netsh winsock show
catalog.
Naposledy
aplikovaná politika
ESET\Config\lastPolicy.dat Politika uplatňovaná ESMC / ERA.
ESET komponenty ESET\Config\msi_features.txt Sesbírané informace o
komponentách instalátoruMSI
dostupného produktu ESET.
Konfigurace HIPS ESET\Config\HipsRules.bin Data o HIPS pravidlech.
Konfigurace
Domácí sítě
ESET\Config\homenet.dat Data monitorování domácí sítě.
Karanténa
Název objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Informace o souborech v
karanténě
ESET\Quarantine\quar_info.txt Textový soubor obsahující
seznam objektů v karanténě.
Malé soubory v
karanténě (< 250KB)
ESET\Quarantine\*.*(< 250KB) Soubory umístěné v
karanténě menší než 250 KB.
Velké soubory v
karanténě (> 250KB)
ESET\Quarantine\*.*(> 250KB) Soubory umístěné v
karanténě větší než 250 KB.
Protokoly produktu ESET
Název objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Protokol událostí
produktu ESET
ESET\Logs\Common\warnlog.dat Protokol událostí
produktu ESET v
binárním formátu.
Protokol
zachycených
hrozeb
ESET\Logs\Common\virlog.dat Protokol zachycených
hrozeb produktu ESET
v binárním formátu.
Protokol
provedených
volitelných kontrol
ESET\Logs\Common\eScan\*.dat Protokol provedených
volitelných kontrol
produktem ESET v
binárním formátu.
10
Protokoly produktu ESET
Protokol modulu
HIPS*
ESET\Logs\Common\hipslog.dat Protokol modulu HIPS
produktu ESET v
binárním formátu.
Protokol
rodičovské
kontroly*
ESET\Logs\Common\parentallog.dat Protokol rodičovské
kontroly produktu
ESET v binárním
formátu.
Protokol správy
zařízení*
ESET\Logs\Common\devctrllog.dat Protokol modulu
správa zařízení
produktu ESET v
binárním formátu.
Protokol ochrany
webkamery*
ESET\Logs\Common\webcamlog.dat Protokol modulu
ochrana webkamery
produktu ESET v
binárním formátu.
Protokol
provedených
volitelných kontrol
databáze
ESET\Logs\Common\ServerOnDemand\*.dat Protokol provedených
volitelných kontrol
produktem ESET v
binárním formátu.
Protokoly Hyper-V
kontroly
ESET\Logs\Common\HyperVOnDemand\*.dat Protokol provedených
volitelných kontrol
produktem ESET v
binárním formátu.
Protokol OneDrive
kontrol
ESET\Logs\Common\O365OnDemand\*.dat Protokol provedených
OneDrive kontrol
produktem ESET v
binárním formátu.
Protokol
zablokovaných
souborů
ESET\Logs\Common\blocked.dat Protokol
zablokovaných
souborů produktem
ESET v binárním
formátu.
Protokol
odeslaných
souborů
ESET\Logs\Common\sent.dat Protokol odeslaných
souborů produktem
ESET v binárním
formátu.
ESET Audit log ESET\Logs\Common\audit.dat ESET Audit log v
binárním formátu.
*Tato možnost je dostupná pouze v případě, kdy daný soubor existuje.
Protokoly síťové ochrany produktu ESET
Název objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Protokol síťové
ochrany*
ESET\Logs\Net\epfwlog.dat Protokol síťové ochrany
produktu ESET v binárním
formátu.
Protokol filtrovaných
webových stránek*
ESET\Logs\Net\urllog.dat Protokol filtrovaných
webových stránek v
binárním formátu.
11
Protokoly síťové ochrany produktu ESET
Protokol filtrování
obsahu webu*
ESET\Logs\Net\webctllog.dat Protokol modulu filtrování
obsahu webu v binárním
formátu.
ESET pcap protokoly ESET\Logs\Net\EsetProxy*.pcapng Kopie ESET pcap
protokolů.
*Tato možnost je dostupná pouze v případě, kdy daný soubor existuje.
ESET diagnostika
Název objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Databáze lokální
cache
ESET\Diagnostics\local.db Databáze kontrolovaných souborů.
Obecné diagnostické
protokoly produktu
ESET\Diagnostics\*.* Soubory (mini dumpy) z
diagnostické složky produktu ESET.
ECP diagnostické
protokoly
ESET\Diagnostics\ECP\*.xml Diagnostické protokoly ESET
Communication Protocol
generované v případě problémů s
aktivací produktu zachycující
komunikaci s aktivačními servery.
ESET Secure Authentication
Název objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
ESA protokoly ESA\*.log Exportované protokoly ESET Secure
Authentication.
ESET Enterprise Inspector
Název objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Protokoly EEI
Serveru
EEI\Server\Logs\*.log Textové protokoly serveru.
Protokoly EEI Agenta EEI\Agent\Logs\*.log Textové protokoly agenta.
Konfigurace EEI
serveru
EEI\Server\eiserver.ini Soubor .ini obsahující nastavení
serveru.
Konfigurace EEI
Agenta
EEI\Agent\eiagent.ini Soubor .ini obsahující nastavení
agenta.
Politika EEI Serveru EEI\Server\eiserver.policy.ini Soubor .ini obsahující politiky
serveru.
Politika EEI Agenta EEI\Agent\eiagent.policy.ini Soubor .ini obsahující politiky
agenta.
12
ESET Enterprise Inspector
Certifikáty EEI
Serveru
EEI\Server\Certificates\*.* Obsahuje certifikáty používané
serverem. Protože jsou soubory
umístěny v podsložkách, je
shromažďována celá struktura.
Certifikáty EEI
Agenta
EEI\Agent\Certificates\*.* Obsahuje certifikáty používané
agentem. Protože jsou soubory
umístěny v podsložkách, je
shromažďována celá struktura.
Dumpy EEI Serveru EEI\Server\Diagnostics\*.* Soubory výpisu serverových
produktů.
Konfigurace MySQL
Serveru
EEI\My SQL\my.ini Soubor .ini obsahující nastavení
MySQL Serveru používaného EEI
serverem.
Protokoly MySQL
Serveru
EEI\My SQL\EEI.err Protokol výpisu chyb MySQL Serveru
používaného EEI serverem.
ESET Full Disk Encryption
Název objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Protokoly EFDE EFDE\AIS\Logs\*.*
EFDE\Core\*.log
Exportované protokoly (AIS a jádro) z
aplikace ESET Full Disk Encryption.
Licenční údaje EFDE EFDE\AIS\Licesne\*.* Licenční soubory EFDE.
Konfigurace EFDE EFDE\AIS\lastpolicy.dat Obsahuje konfiguraci EFDE.
Protokoly poštovní ochrany produktu ESET (ESET Mail Security for Exchange, ESET Mail Security for Domino)
Název objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Protokol
antispamové
ochrany
ESET\Logs\Email\spamlog.dat Protokol antispamové
ochrany produktu ESET
v binárním formátu.
Protokol
greylistingové
ochrany
ESET\Logs\Email\greylistlog.dat Protokol greylistingové
ochrany produktu ESET
v binárním formátu.
Protokol SMTP
ochrany
ESET\Logs\Email\smtpprot.dat Protokol SMTP ochrany
produktu ESET v
binárním formátu.
Protokoly ochrany
poštovního serveru
ESET\Logs\Email\mailserver.dat Protokoly ochrany
poštovního serveru
produktu ESET v
binárním formátu.
Diagnostický
protokol
zpracovaných e-
mailů
ESET\Logs\Email\MailServer\*.dat Diagnostický protokol
zpracovaných e-mailů
produktem ESET v
binárním formátu.
Protokol
antispamové
ochrany*
ESET\Logs\Email\spamlog.dat Protokol antispamové
ochrany produktu ESET
v binárním formátu.
13
Protokoly poštovní ochrany produktu ESET (ESET Mail Security for Exchange, ESET Mail Security for Domino)
Nastavení a
diagnostické
protokoly
antispamové
ochrany
ESET\Logs\Email\Antispam\antispam.*.log
ESET\Config\Antispam\*.*
Nastavení a
diagnostické protokoly
antispamové ochrany.
*Tato možnost je dostupná pouze v případě, kdy daný soubor existuje.
Protokoly ESET SharePoint (ESET Security for SharePoint)
Název objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
ESET SHPIO.log ESET\Log\ESHP\SHPIO.log ESET diagnostický protokol vytvořený
nástrojem SHPIO.exe.
Protokoly specifické k produktu – níže uvedené možnosti jsou dostupné v konkrétních produktech.
Domino (ESET Mail Security for Domino)
Název objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Protokoly
IBM_TECHNICAL_SUPPORT
+ notes.ini
LotusDomino\Log\notes.ini Konfigurační
soubor IBM
Domino.
Protokoly
IBM_TECHNICAL_SUPPORT
+ notes.ini
LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.* Protokoly
IBM Domino
obsahující
záznamy
nejvýše za
posledních
30 dní.
MS SharePoint (ESET Security for SharePoint)
Název
objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Protokoly
MS
SharePoint
SharePoint\Logs\*.log Protokoly MS SharePoint obsahující záznamy
nejvýše za posledních 30 dní.
Klíče
registru
SharePoint
serveru
SharePoint\WebServerExt.reg Obsah klíče registru
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
Tools\Web Server Extensions. Dostupné pouze v
případě, kdy je ESET Security for SharePoint
nainstalován.
14
MS Exchange (ESET Mail Security for Exchange)
Název objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Registrovaní
transportní agenti MS
Exchange
Exchange\agents.config Konfigurační soubor s
registrovanými transportními
agenty. Dostupné od Microsoft
Exchange Server 2007.
Registrovaní
transportní agenti MS
Exchange
Exchange\sinks_list.txt Výpis registrovaných posluchačů
událostí (sinks) MS Exchange.
Dostupné na Microsoft Exchange
Server 2000 a 2003.
MS Exchange EWS
protokoly
Exchange\EWS\*.log Sesbírané protokoly EWS Exchange
serveru.
Kerio Connect (ESET Security for Kerio)
Název
objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Nastavení
Kerio
Connect
Kerio\Connect\mailserver.cfg Konfigurační
soubor Kerio
Connect.
Protokoly
Kerio
Connect
Kerio\Connect\Logs\{mail,error,security,debug,warning}.log Vybrané
protokoly
Kerio Connect.
Kerio Control (ESET Security for Kerio)
Název
objektu
Profil
Umístění / Název souboru Popis
Výchozí
Detekované
hrozby
Nastavení
Kerio
Control
Kerio\Connect\winroute.cfg Konfigurační
soubor Kerio
Control.
Protokoly
Kerio
Control
Kerio\Connect\Logs\{alert,error,security,debug,warning}.log Vybrané
protokoly
Kerio Control.
Příkazový řádek ESET Log Collector
Prostřednictvím příkazového řádku můžete ESET Log Collector používat bez grafického rozhraní. To můžete využít
například na Server Core nebo Nano Server instalacích, nebo v případě, kdy nechcete pro sesbírání dat ze systému
využít grafické rozhraní. V příkazovém řádku navíc můžete převést sesbíraná data v originální binární podobě do
čitelné podoby, například do XML formátu nebo textového souboru.
Nápověda příkazového řádku – pro zobrazení nápovědy k syntaxi spusťte nástroj příkazem: start /wait
ESETLogCollector.exe /?. Po provedení tohoto příkazu se zároveň zobrazí seznam dostupných cílů (objektů),
které můžete z daného systému sesbírat. Seznam dostupných cílů závisí na nainstalovaném produktu ESET v
systému, na kterém ESET Log Collector spouštíte, a jeho konfiguraci. Vždy se zobrazí pouze relevantní cíle.
15
Poznámka
ESET Log Collector doporučujeme z příkazového řádku spouštět vždy s prefixem start /wait. Je to z důvodu, že
ESET Log Collector je určen primárně pro použití z grafického rozhraní a interpret Windows příkazového řádku
nečeká na dokončení provedení příkazu, automaticky proces ukončí a zobrazí výzvu k zadání nového příkazu.
Právě při použití prefixu start /wait Windows shell vyčká na dokončení operace nástroje ESET Log Collector.
Při prvním spuštěním ESET Log Collector je vyžadován souhlas sLicenčním ujednáním s koncovým uživatelem
(EULA). Pro odsouhlasení použijte při prvním spuštění parametr /accepteula. Při dalším spuštění již parametr
/accepteula není potřeba zadávat. Pokud licenční ujednání (EULA) neodsouhlasíte a nepoužijete parametr
/accepteula, příkaz se neprovede. Parametr /accepteula je nutné použít jako první. Příklad: start /wait
ESETLogCollector.exe /accepteula /age:90 /otype:fbin
/targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip
Použití:
[start /wait] ESETLogCollector.exe [options] <out_zip_file> – sesbírá protokoly podle
definovaných parametrů a výstup zabalí do ZIP archivu.
[start /wait] ESETLogCollector.exe /Bin2XML [/All] <eset_binary_log>
<output_xml_file> – převede sesbírané protokoly v binární podobě (.dat) do XML souboru.
[start /wait] ESETLogCollector.exe /Bin2Txt [/All] <eset_binary_log>
<output_txt_file> – převede sesbírané protokoly v binární podobě (.dat) do textového souboru.
Možnosti:
/Age:<days> – doba, za kterou chcete data sesbírat. Hodnotu zadávejte v rozsahu 0-999, kdy 0 znamená
neomezeno. Výchozí hodnota je 30.
/OType:<xml|fbin|obin> – formát, ve kterém chcete ESET protokoly sesbírat:
xml – filtrované XML
fbin – filtrovaná binární data (výchozí)
obin – originální binární data z disku
/All – sesbírat také protokoly, které jsou označené k odstranění. Tento parametr se uplatní pouze při převodu
binárních dat do XML nebo TXT.
/Targets:<id1>[,<id2>...] – seznam objektů/cílů, které chcete sesbírat. Pokud nic nedefinujete, sesbírá
se výchozí sada dat. Použitím argumentu 'all' sesbíráte všechny dostupné cíle.
/NoTargets:<id1>[,<id2>...] – seznam objektů/cílů, které nechcete sesbírat. Tento parametr uveďte až
za seznamem cílů.
/Profile:<default|threat|all> - profil definující cíle:
Default – profil používaný pro řešení nejčastějších problémů.
Threat – profil zaměřený na případy související s detekcí hrozeb.
All – profil, ve kterém se sesbírají data ze všech dostupných cílů.
Poznámka
Při použití parametru pro Filtrované XML nebo Filtrovaná binární data dojde k sesbírání dat pouze za
definované časové období (za posledních x dnů definovaných parametrem /Age:<days>). Pokud vyberete
možnost Originální binární data z disku, parametr /Age:<days> bude pro ESET protokoly ignorován. Pro
ostatní typy protokolů, jako je protokol událostí Windows, protokol Microsoft SharePoint nebo IBM Domino, se
parametr /Age:<days> uplatní. Můžete ho použít ke snížení množství sesbíraný dat z protokolů, které nepatří k
produktu ESET, při současném zachování všech dat z produktu ESET.
16
Poznámka
Použitím parametru /All získáte všechny protokoly, včetně již odstraněných v grafického rozhraní produktu ESET.
Takové protokoly jsou stále dostupné v originální binární podobě na disku a jsou označeny ke smazání – pouze již
nejsou vidět v grafickém rozhraní produktu.
17
PŘÍKLAD
Tímto příkazem přepnete jazyk na italštinu. K dispozici máte následující jazyky: ARE, BGR, CSY, DAN, DEU, ELL,
ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY,
SLV, SVE, THA, TRK, UKR
/lang: ITA
PŘÍKLAD
Pro sesbírání informací o nastavení produktu ESET, souborech v karanténě, protokolu událostí programu ESET,
detekovaných hrozbách a provedených volitelných kontrolách ve formátu filtrovaných binárních dat za posledních
90 dní použijte příkaz:
start /wait ESETLogCollector.exe /age:90 /otype:fbin
/targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip
PŘÍKLAD
Pro sesbírání informací o běžících procesech, protokolu systémových událostí, ESET SysInspector protokolu,
informací o nastavení produktu ESET, protokolu událostí programu ESET a obecných diagnostických protokolů
produktu v originální binárně podobě z disku použijte příkaz:
start /wait ESETLogCollector.exe /otype:obin
/targets:proc,evlogsys,sysin,prodcnf,warn,diag collected_diag_logs.zip
PŘÍKLAD
Pro sesbírání protokolů ESET Management Agenta, ESMC Serveru, konfiguraci ESMC komponent, protokolů ESET
Rogue Detection Sensor ve formátu filtrovaného XML za posledních 10 dní použijte příkaz:
start /wait ESETLogCollector.exe /age:10 /otype:xml
/targets:eraag,erasrv,eraconf,erard collected_era_logs.zip
PŘÍKLAD
Pro převod sesbíraných binárních dat (protokolu výsledků kontroly) do XML souboru, při zachování všech záznamů
(včetně těch označených ke smazání), použijte příkaz:
start /wait ESETLogCollector.exe /bin2xml /all
C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.xmlPro převod
sesbíraných binárních dat (protokolu výsledků kontroly) do textového souboru, s vynecháním záznamů
označených k odstranění, použijte příkaz:
start /wait ESETLogCollector.exe /bin2txt
C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.txt
Dostupné cíle
V této kapitole uvádíme seznam všech dostupných cílů, které můžete použít v příkazovém řádku ESET Log
Collector jako argument parametru /Targets:.
Poznámka
Mějte na paměti, že seznam všech dostupných cílů se může lišit. Seznam všech dostupných cílů ve vašem
operačním systému získáte spuštěním z příkazového řádku pomocí příkazu: start /wait
ESETLogCollector.exe /?. Cíle, které se vám nezobrazí, nejsou dostupné pro váš operační systém nebo ESET
produkt, resp. jeho konfiguraci.
Proc Běžící procesy (otevřené popisovače a načtené DLL)
Drives Informace o jednotkách
Devices Informace o zařízení
SvcsReg Obsah klíče registru služeb
EvLogApp Události z protokolu aplikací
EvLogSys Události z protokolu událostí systému
SetupAPI SetupAPI protokoly
EvLogLSM Terminálové služby – LSM protokol událostí
EvLogWMI Protokol událostí aktivit WMI
SysIn ESET SysInspector protokol
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17
  • Page 18 18
  • Page 19 19
  • Page 20 20
  • Page 21 21
  • Page 22 22

ESET Log Collector 4.2 Návod na obsluhu

Typ
Návod na obsluhu