ESET Log Collector 4.2 は、ESET 製品がインストールされていないコンピュータでも、システムのさまざまなデータとログを収集するのに役立つツールです。
ESET Log Collector 4.2 の主な機能を以下にまとめました。
- ログの収集 - Windows イベントログ、ESET セキュリティ製品のログ、およびその他のアプリケーションのログを収集できます。
- システム情報 - システム情報、インストールされているソフトウェア、およびネットワーク構成など、システムに関する情報を収集できます。
- クラッシュダンプ - クラッシュダンプは、トラブルシューティングに役立つ追加情報を提供できるため、クラッシュが発生したときにクラッシュダンプを収集できます。
- カスタマイズ可能なエクスポート - 収集するデータとエクスポートする形式を選択できます。
ESET Log Collector 4.2 は、以下の場合に便利です。
- テクニカルサポートを受ける場合 - ESET
ESET Log Collector 4.2 は、ESET 製品がインストールされていないコンピュータでも、システムのさまざまなデータとログを収集するのに役立つツールです。
ESET Log Collector 4.2 の主な機能を以下にまとめました。
- ログの収集 - Windows イベントログ、ESET セキュリティ製品のログ、およびその他のアプリケーションのログを収集できます。
- システム情報 - システム情報、インストールされているソフトウェア、およびネットワーク構成など、システムに関する情報を収集できます。
- クラッシュダンプ - クラッシュダンプは、トラブルシューティングに役立つ追加情報を提供できるため、クラッシュが発生したときにクラッシュダンプを収集できます。
- カスタマイズ可能なエクスポート - 収集するデータとエクスポートする形式を選択できます。
ESET Log Collector 4.2 は、以下の場合に便利です。
- テクニカルサポートを受ける場合 - ESET
版权所有 © 2021 ESET, spol. s r.o.
ESET Log Collector 由 ESET, spol. s r.o. 开发
有关更多信息,请访问 www.eset.com。
保留所有权利。未经作者书面同意,本文档的任何部分均不得复制、存入检索系统或以任何形式或任何方式传播,包括
电子的、机械的、影印、记录、扫描或其他方式。
ESET, spol. s r.o. 保留未经事先通知即更改任何所述应用程序软件的权利。
客户服务:www.eset.com/support
修订日期 2021年m月20日
1 介绍 1 ...................................................................................................................................................................
1.1 帮助 1 .............................................................................................................................................................
2 ESET Log Collector 用户界面 1 ...............................................................................................................
2.1 项目列表 / 收集的文件 11 .............................................................................................................................
3 ESET Log Collector 命令行 11 ..................................................................................................................
3.1 可用目标 14 ....................................................................................................................................................
1
介绍
ESET Log Collector 应用程序的用途是收集目标计算机中的特定数据(例如配置和日志),以在处理支持案例时便于收
集客户计算机的信息。在预定义的项目列表中,可以指定要收集的信息、收集的日志记录的最长保留时间、收集的
ESET 日志的格式和输出 ZIP 文件(包含所有收集的文件和信息)的名称。如果在未安装 ESET 安全产品的计算机上运
行 ESET Log Collector,仅可以收集 Windows 事件日志和运行进程转储。
注意
ESET Log Collector 与您的 ESET 安全产品具有相同的系统要求。ESET Log Collector 可在任何版本的 Microsoft
Windows 操作系统上运行。
ESET Log Collector 自动从系统中收集选定信息,以便更快速地解决问题。当某个案例需要在 ESET 技术支持人员帮助
下打开时,系统可能会要求您提供计算机中的日志。使用 ESET Log Collector 可以轻松收集所需的信息。
ESET Log Collector 在单个可执行文件中包含所有语言。这允许您在启动时根据需要切换语言,无需下载正确的本地化
版本。可以自动检测或者显式选择要使用的语言。有两种方法可以显式指定语言:
1. 使用命令行切换 /lang:<language_code>
2. 将文件重命名为 ESETLogCollector_<language_code>.exe
语言代码的可用值:ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS, CHT, ITA, JPN, KKZ,
KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR
注意
ESET Log Collector 作为 32 位应用程序进行分发。为了确保在 64 位系统上可以完整运行,它包含作为资源嵌入的
ESET Log Collector 的 64 位可执行文件,此文件将提取到 Temp 目录中,并在检测到 64 位系统时执行。
可以在两种模式下使用 ESET Log Collector:
• 图形用户界面 (GUI)
• 命令行界面 (CLI)(从版本 1.8 开始)。当未指定任何命令行参数时,ESET Log Collector 将在 GUI 模式下启动。
当使用 GUI 运行 ESET 日志收集器时,ESET 产品的日志作为原始二进制文件或过滤的二进制文件(默认为过滤的二进制
文件)进行收集。在导出过滤的二进制文件时,可以选择导出记录的最长保留时间。每个日志文件的最大导出记录数为
100 万个。
注意
ESET Log Collector 的一个额外功能是将收集的 ESET 二进制日志文件 (.dat) 转换为 XML 或文本文件格式。但是,
仅可以使用 ESET Log Collector 命令行界面 (CLI) 转换收集的 ESET 二进制文件日志。
帮助
若要访问最新版本的联机帮助,请按 F1 键或单击 ? 按钮。
ESET Log Collector 用户界面
在从 ESET 网站下载 ESET Log Collector 后,启动 ESET Log Collector。接受最终用户许可协议 (EULA) 后,ESET Log
Collector 将打开。如果选择不接受最终用户许可协议 (EULA) 中的条款,请单击取消,ESET Log Collector 将不会打开。
2
可以选择收集配置文件,或者自行选择项目。收集配置文件是已定义的项目集:
• 默认 - 已选定大多数项目的默认配置文件。用于一般的支持案例。(有关选定项目的详细列表,请参阅项目列表
部分)。
• 威胁检测 - 在许多项目中与“默认”配置文件重合,但相对于“默认”配置文件,“威胁检测”配置文件侧重于
收集有助于与处理恶意软件检测相关的支持案例的项目。(有关选定项目的详细列表,请参阅项目列表部分)。
• 所有 - 选择全部可用的项目。
• 无 - 取消选择所有项目,并允许选中希望收集的日志的相应复选框。
• 自定义 - 在以下情况中将自动切换到此收集配置文件:更改以前选定的配置文件,并且当前的选定项目组合不适
用于上述任何配置文件。
注意
可收集的显示项目列表会因为以下因素而发生改变:安装在系统上已检测到的 ESET 安全产品类型、系统配置以及其他
软件,例如 Microsoft Server 应用程序。仅相关项目才可用。
选择日志时间限制 [天] 和 ESET 日志收集模式(默认选项为过滤的二进制文件)。
ESET 日志收集模式:
• 过滤的二进制文件 - 通过日志时间限制 [天] 指定的天数过滤记录,这意味着仅收集最后天数内的记录。
3
• 磁盘中的原始二进制文件 - 复制忽略 ESET 日志的日志时间限制 [天] 值的 ESET 二进制日志文件,以在不受时间
限制的情况下收集所有记录。但是,时间限制仍适用于非 ESET 日志,例如 Windows 事件日志、Microsoft SharePoint
日志或 IBM Domino 日志。
可以指定要保存压缩文件的位置,然后单击保存。压缩文件名已预定义。单击收集。在处理过程中,按相同的按钮将随
时中断应用程序的操作,因为在处理过程中,按钮标题将更改为取消。操作成功或失败将由弹出窗口消息进行提示。如
果失败,日志面板将包含额外的错误信息。
在收集期间,可以查看底部的操作日志窗口,以查看当前正在进行的操作。完成收集后,将显示所有收集和压缩的数据。
这意味着收集成功,并且压缩文件(例如 emsx_logs.zip、ees_logs.zip 或 eea_logs.zip)已保存到指定位置。(有关详
细信息,请参阅项目列表部分。)
项目列表 / 收集的文件
本节介绍包含在生成的 .zip 文件中的文件。说明将根据信息类型(文件和项目)分为若干子部分。
位置 / 文件名 说明
metadata.txt
包含创建 .zip 压缩文件的日期、ESET Log Collector 版本、ESET 产品版本和基本许可信息。
collector_log.txt
GUI 日志文件的副本,包含直到创建 .zip 文件之前的数据。
Windows 进程
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
运行进程
(开放式句柄和已
加载的 DLL)
✓ ✓ Windows\Processes\Processes.txt
包含计算机上的运行进程列表的文本文
件。对于每个进程,将打印以下项:
oPID
o父 PID
o线程数
o按类型分组的开放式句柄数
o加载的模块
o运行进程的用户帐户
o内存使用量
o开始时间戳
o内核和用户时间
oI/O 统计信息
o命令行
运行进程
(开放式句柄和已
加载的 DLL)
✓ ✓ Windows\ProcessesTree.txt
包含计算机上的运行进程树的文本文件。
对于每个进程,将打印以下项:
oPID
o运行进程的用户帐户
o开始时间戳
o命令行
Windows 日志
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
应用程序
事件日志
✓ ✓ Windows\Logs\Application.xml
包含自定义 XML 格式的 Windows 应用程序事件日志。仅包
含过去 30 天的消息。
系统事件
日志
✓ ✓ Windows\Logs\System.xml
包含自定义 XML 格式的 Windows 系统事件日志。仅包含过
去 30 天的消息。
终端服务
- LSM 操
作事件日志
*
✓ ✓ Windows\Logs\LocalSessionManager-Operational.evtx
包含有关 RDP 会话信息的 Windows 事件日志。
4
Windows 日志
驱动程序
安装日志
✓ ✗ Windows\Logs\catroot2_dberr.txt
包含有关在安装驱动程序时添加到“catstore”的目录的信息。
SetupAPI
日志*
✓ ✗ Windows\Logs\SetupAPI\setupapi*.log
设备和应用程序安装文本日志。
WMI
Activity
操作事件
日志
✓ ✓ Windows\Logs\WMI-Activity.evtx
包含 WMI Activity 跟踪数据的 Windows 事件日志。仅包含
过去 30 天的消息。
应用程序
事件日志
✓ ✓ Windows\Logs\Application.evtx
Windows 应用程序事件日志文件。仅包含过去 30 天的消
息。
系统事件
日志
✓ ✓ Windows\Logs\System.evtx
Windows 系统事件日志文件。仅包含过去 30 天的消息。
服务注册
表键内容
Windows\Services.reg
包含
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
的注册表项内容。
当驱动器有问题时,收集此项可能有帮助。
*Windows Vista
和更高版本
系统配置
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
驱动器信息
✓ ✓ Windows\drives.txt
Windows\volumes.txt
收集的文本文件,包含有关磁盘驱动器和卷的
信息。
设备信息
✓ ✓ Windows/devices/*.txt
收集的多个文本文件中包含有关设备的类和接
口信息。
网络配置
✓ ✓ Config\network.txt
收集的文本文件,包含网络配置。(执
行ipconfig /all 的结果)
ESET
SysInspector
日志
✓ ✓ Config\SysInspector.xml
XML 格式的 SysInspector 日志。
Winsock LSP 目
录
✓ ✓ Config\WinsockLSP.txt
收集 netsh winsock 显示目录命令的输出。
WFP 过滤器*
✓ ✓ Config\WFPFilters.xml
收集的 XML 格式的 WFP 过滤器配置。
完整的
Windows 注册
表内容
✗ ✓ Windows\Registry\*
收集的多个二进制文件,包含 Windows 注册
表数据。
临时目录中的文
件列表
✓ ✓ Windows\TmpDirs\*.txt
收集的多个文本文件,包含系统用户临时目
录、%windir%/temp、%TEMP% 和 %TMP%
目录的内容。
Windows 计划
任务
✗ ✓ Windows\Scheduled Tasks\*.*
从 Windows Task Scheduler 收集的包含所有
任务的多个 xml 文件,可帮助检测将攻击
Task Scheduler 的恶意软件。因为文件位于子
文件夹中,因此将收集整个结构。
WMI 库
✗ ✓ Windows\WMI Repository\*.*
收集的多个包含 WMI 数据库数据(元信息、
定义和 WMI 类的静态数据)的二进制文件。
收集这些文件可能帮助识别将 WMI 用于持续
性的恶意软件(例如 Turla)。因为 WMI 文件可
能位于子文件夹中,因此将收集整个结构。
5
系统配置
Windows
Server 角色和
功能
✓ ✗ Windows\server_features.txt
包含所有 Windows Server 功能树的文本文件。
每个功能包含以下信息:
o已安装的状态
o本地化的名称
o代码名称
o状态(可用在 Microsoft Windows Server
2012 及更高版本上)
*Windows 7
和更高版本
ESET 安装程序
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
ESET 安装程序日
志
✓ ✗ ESET\Installer\*.log
安装 ESET NOD32 Antivirus 和 ESET Smart Security
10 Premium 产品期间创建的安装日志。
ESET Remote Administrator 日志也适用于 ESET Security Management Center。
ESET Security Management Center (ESMC) 和 ESET Remote Administrator (ERA)
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
ESMC/ERA
服务器日
志
✓ ✗ ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip
在 ZIP 压缩
文件中创建
服务器产品
日志。它包
含跟踪、状
态和上一个
错误日志。
ESMC/ERA
服务器代
理日志
✓ ✗ ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip
在 ZIP 压缩
文件中创建
服务器代理
产品日志。
它包含跟踪、
状态和上一
个错误日志。
ESMC/ERA
进程信息
和转储*
✗ ✗ ERA\Server\Process and old
dump\RemoteAdministratorServerDiagnostic<datetime>.zip
服务器进程
转储。
ESMC/ERA
进程信息
和转储*
✗ ✗ ERA\Agent\Process and old
dump\RemoteAdministratorAgentDiagnostic<datetime>.zip
服务器代理
进程转储。
ESMC/ERA
配置
✓ ✗ ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip
ZIP 压缩文
件中的服务
器配置和应
用程序信息
文件。
ESMC/ERA
配置
✓ ✗ ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip
ZIP 压缩文
件中的服务
器代理配置
和应用程序
信息文件。
6
ESET Security Management Center (ESMC) 和 ESET Remote Administrator (ERA)
ESMC/ERA
Rogue
Detection
Sensor 日
志
✓ ✗ ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip
包含 RD
Sensor 跟踪
日志、上一
个错误日志、
状态日志、
配置、转储
和常规信息
文件的 ZIP
文件。
ESMC/ERA
MDMCore
日志
✓ ✗ ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip
包含
MDMCore
跟踪日志、
上一个错误
日志、状态
日志、转储
和常规信息
文件的 ZIP
文件。
ESMC/ERA
代理日志
✓ ✗ ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip
包含 ERA 代
理跟踪日志、
上一个错误
日志、状态
日志、配置、
转储和常规
信息文件的
ZIP 文件。
ESMC/ERA
服务器代
理数据库
✓ ✗ ERA\Agent\Database\data.db ESMC/ERA
服务器代理
数据库文件。
Apache
Tomcat
配置
✓ ✗ ERA\Apache\Tomcat\conf\*.* Apache
Tomcat 配
置文件,它
包含不带敏
感信息的
server.xml
文件副本。
Apache
Tomcat
日志
✓ ✗ ERA\Apache\Tomcat\logs\*.log
ERA\Apache\Tomcat\EraAppData\logs\*.log
ERA\Apache\Tomcat\EraAppData\WebConsole\*.log
文本格式的
Apache
Tomcat 日
志位于
Apache
Tomcat 安
装或应用程
序目录中。
它还包含
WebConsole
日志。
Apache
HTTP 代理
配置
✓ ✗ ERA\Apache\Proxy\conf\httpd.conf Apache
HTTP 代理
配置文件。
Apache
HTTP 代理
日志
✓ ✗ ERA\Apache\Proxy\logs\*.log
文本格式的
Apache
HTTP 代理
日志所在位
置。
*ESMC/ERA
服务器或
ESMC/ERA
服务器代理
7
ESET 配置
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
ESET 产
品配置
✓ ✓ info.xml
详细介绍系统上安装的 ESET 产品的信息性 XML 文件。它包含基本的系统信息、安
装的产品信息和产品模块列表。
ESET 产
品配置
✓ ✓ versions.csv
自版本 4.0.3.0 以来,始终包含该文件(无任何相关性)。它包含已安装的产品信
息。versions.csv 必须存在于要包含的 ESET AppData 目录中。
ESET 产
品配置
✓ ✓ features_state.txt
包含有关 ESET 产品功能及其状态(活动、非活动、未集成)的信息。将始终收集
该文件,且它不与任何可选择的项目绑定。
ESET 产
品配置
✓ ✓ Configuration\product_conf.xml
通过导出的产品配置创建 XML。
ESET 数
据和安
装目录
文件列
表
✓ ✓ ESET\Config\data_dir_list.txt
创建包含 ESET AppData 目录及其全部子目录中的文件列表的文本文件。
ESET 数
据和安
装目录
文件列
表
✓ ✓ ESET\Config\install_dir_list.txt
创建包含 ESET Install 目录及其全部子目录中的文件列表的文本文件。
ESET 驱
动程序
✓ ✓ ESET\Config\drivers.txt
收集有关安装的 ESET 驱动程序的信息。
ESET 个
人防火
墙配置
✓ ✓ ESET\Config\EpfwUser.dat
复制包含 ESET 个人防火墙配置的文件。
ESET 注
册表项
内容
✓ ✓ ESET\Config\ESET.reg
包含 HKLM\SOFTWARE\ESET 的注册表项内容
Winsock
LSP 目
录
✓ ✓ Config/WinsockLSP.txt
收集 netsh winsock 显示目录命令的输出。
最新应
用的策
略
✓ ✓ ESET\Config\lastPolicy.dat
由 ESMC/ERA 应用的策略。
ESET 组
件
✓ ✓ ESET\Config\msi_features.txt
收集的有关可用 ESET 产品 MSI 安装程序组件的信息。
HIPS 配
置
✓ ✓ ESET\Config\HipsRules.bin
HIPS 规则数据。
已连接
的主页
配置
✓ ✓ ESET\Config\homenet.dat
已连接的主页数据。
隔离区
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
有关已隔离文件的信息
✓ ✓ ESET\Quarantine\quar_info.txt
创建包含已隔离对象列表的文
本文件。
小型隔离文件 (< 250KB)
✓ ✗ ESET\Quarantine\*.*(< 250KB)
隔离文件小于 250 KB。
大型隔离文件 (> 250KB)
✗ ✓ ESET\Quarantine\*.*(> 250KB)
隔离文件大于 250 KB。
ESET 日志
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
ESET 事件日志
✓ ✓ ESET\Logs\Common\warnlog.dat
二进制文件格式的 ESET
产品事件日志。
8
ESET 日志
ESET 检测到的威
胁日志
✓ ✓ ESET\Logs\Common\virlog.dat
二进制文件格式的 ESET
检测到的威胁日志。
ESET 计算机扫描
日志
✗ ✓ ESET\Logs\Common\eScan\*.dat
二进制文件格式的 ESET
计算机扫描日志。
ESET HIPS 日志*
✓ ✓ ESET\Logs\Common\hipslog.dat
二进制文件格式的 ESET
HIPS 日志。
ESET 家长控制日志
*
✓ ✓ ESET\Logs\Common\parentallog.dat
二进制文件格式的 ESET
家长控制日志。
ESET 设备控制日志
*
✓ ✓ ESET\Logs\Common\devctrllog.dat
二进制文件格式的 ESET
设备控制日志。
ESET 网络摄像头
防护日志*
✓ ✓ ESET\Logs\Common\webcamlog.dat
二进制文件格式的 ESET
网络摄像头防护日志。
ESET 手动服务器
数据库扫描日志
✓ ✓ ESET\Logs\Common\ServerOnDemand\*.dat
二进制文件格式的 ESET
服务器手动日志。
ESET Hyper-V 服
务器扫描日志
✓ ✓ ESET\Logs\Common\HyperVOnDemand\*.dat
二进制文件格式的 ESET
Hyper-V 服务器扫描日志。
MS OneDrive 扫描
日志
✓ ✓ ESET\Logs\Common\O365OnDemand\*.dat
二进制文件格式的 MS
OneDrive 扫描日志。
ESET 阻止的文件
日志
✓ ✓ ESET\Logs\Common\blocked.dat
二进制文件格式的 ESET
阻止的文件日志。
ESET 发送的文件
日志
✓ ✓ ESET\Logs\Common\sent.dat
二进制文件格式的 ESET
发送的文件日志。
ESET 审核日志
✓ ✓ ESET\Logs\Common\audit.dat
二进制文件格式的 ESET
审核日志。
*选项仅在文件存在时显示。
ESET 网络日志
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
ESET 网络防护日志*
✓ ✓ ESET\Logs\Net\epfwlog.dat
二进制文件格式的 ESET 网络防护
日志。
ESET 过滤的网站日
志*
✓ ✓ ESET\Logs\Net\urllog.dat
二进制文件格式的 ESET 网站过滤
日志。
ESET Web 控制日志*
✓ ✓ ESET\Logs\Net\webctllog.dat
二进制文件格式的 ESET Web 控
制日志。
ESET pcap 日志
✓ ✗ ESET\Logs\Net\EsetProxy*.pcapng
复制 ESET pcap 日志。
*选项仅在文件存在时显示。
ESET 诊断
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
本地缓存数据库
✗ ✓ ESET\Diagnostics\local.db
ESET 扫描的文件数据库。
常规产品诊断日志
✓ ✗ ESET\Diagnostics\*.*
ESET 诊断文件夹中的文件(小型转储)。
9
ESET 诊断
ECP 诊断日志
✓ ✗ ESET\Diagnostics\ECP\*.xml
如果在激活产品或与激活服务器通信时出现
问题,将生成 ESET 通信协议诊断日志。
ESET Secure Authentication
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
ESA 日志
✓ ✗ ESA\*.log
从 ESET Secure Authentication 导出的日志。
ESET Enterprise Inspector
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
EEI 服务器日志
✓ ✗ EEI\Server\Logs\*.log
服务器产品文本日志。
EEI 服务器代理日志
✓ ✗ EEI\Agent\Logs\*.log
服务器代理产品文本日志。
EEI 服务器配置
✓ ✗ EEI\Server\eiserver.ini
包含服务器产品配置的 .ini 文件。
EEI 服务器代理配置
✓ ✗ EEI\Agent\eiagent.ini
包含服务器代理产品配置的 .ini 文件。
EEI 服务器策略
✓ ✗ EEI\Server\eiserver.policy.ini
包含服务器产品策略的 .ini 文件。
EEI 服务器代理策略
✓ ✗ EEI\Agent\eiagent.policy.ini
包含服务器代理产品策略的 .ini 文件。
EEI 服务器证书
✓ ✗ EEI\Server\Certificates\*.*
包含由服务器产品使用的证书文件。因为
文件位于子文件夹中,因此将收集整个结
构。
EEI 服务器代理证书
✓ ✗ EEI\Agent\Certificates\*.*
包含由服务器代理产品使用的证书文件。
因为文件位于子文件夹中,因此将收集整
个结构。
EEI 服务器转储
✓ ✗ EEI\Server\Diagnostics\*.*
服务器产品转储文件。
MySQL Server 配置
✓ ✗ EEI\My SQL\my.ini
包含由 EEI Server 产品使用的 MySQL
Server 配置的 .ini 文件。
MySQL Server 日志
✓ ✗ EEI\My SQL\EEI.err
由 EEI Server 产品使用的 MySQL Server
的错误文本日志。
ESET Full Disk Encryption
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
EFDE 日志
✗ ✗ EFDE\AIS\Logs\*.*
EFDE\Core\*.log
从 ESET Full Disk Encryption 中导出的日志
(AIS 和 Core)。
EFDE 许可证数据
✗ ✗ EFDE\AIS\Licesne\*.*
EFDE 的许可证数据文件。
EFDE 配置
✗ ✗ EFDE\AIS\lastpolicy.dat
包含 EFDE 的配置。
ESET 电子邮件日志(ESET Mail Security for Exchange、ESET Mail Security for Domino)
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
10
ESET 电子邮件日志(ESET Mail Security for Exchange、ESET Mail Security for Domino)
ESET 垃圾邮件日志
✓ ✗ ESET\Logs\Email\spamlog.dat
二进制文件格式的 ESET 垃圾
邮件日志。
ESET 灰名单日志
✓ ✗ ESET\Logs\Email\greylistlog.dat
二进制格式的 ESET 灰名单日
志。
ESET SMTP 防护日
志
✓ ✗ ESET\Logs\Email\smtpprot.dat
二进制文件格式的 ESET
SMTP 防护日志。
ESET 邮件服务器防
护日志
✓ ✗ ESET\Logs\Email\mailserver.dat
二进制文件格式的 ESET 邮件
服务器防护日志。
ESET 诊断电子邮件
处理日志
✓ ✗ ESET\Logs\Email\MailServer\*.dat
二进制文件格式的 ESET 诊断
电子邮件处理日志,该日志直
接从磁盘复制。
ESET 垃圾邮件日
志*
✓ ✗ ESET\Logs\Email\spamlog.dat
二进制文件格式的 ESET 垃圾
邮件日志。
ESET 反垃圾邮件配
置和诊断日志
✓ ✗ ESET\Logs\Email\Antispam\antispam.*.log
ESET\Config\Antispam\*.*
复制 ESET 反垃圾邮件配置和
诊断日志。
*选项仅在文件存在时显示。
ESET SharePoint 日志 (ESET Security for SharePoint)
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
ESET SHPIO.log ✓ ✗ ESET\Log\ESHP\SHPIO.log
SHPIO.exe 实用程序中的 ESET 诊断日志。
特定于产品的日志 - 特定产品有多种选择。
Domino (ESET Mail Security for Domino)
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
Domino
IBM_TECHNICAL_SUPPORT
日志 + notes.ini
✓ ✗ LotusDomino\Log\notes.ini
IBM Domino 配置
文件。
Domino
IBM_TECHNICAL_SUPPORT
日志 + notes.ini
✓ ✗ LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.*
IBM Domino 日志,
时间不超过 30 天。
MS SharePoint (ESET Security for SharePoint)
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
MS
SharePoint
日志
✓ ✗ SharePoint\Logs\*.log
MS SharePoint 日志,时间不超过 30 天。
SharePoint
注册表项
内容
✓ ✗ SharePoint\WebServerExt.reg
包含
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
Tools\Web Server Extensions 的注册表项内容。仅在
安装了 ESET Security for SharePoint 时可用。
11
MS Exchange (ESET Mail Security for Exchange)
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
MS Exchange 传输服务
器代理注册
✓ ✗ Exchange\agents.config
MS Exchange 传输服务器代理注册配置
文件。适用于 Microsoft Exchange
Server 2007 和更高版本。
MS Exchange 传输服务
器代理注册
✓ ✗ Exchange\sinks_list.txt
MS Exchange 事件接收注册转储。适用
于 Microsoft Exchange Server 2000 和
2003。
MS Exchange EWS 日志
✓ ✗ Exchange\EWS\*.log
收集 EWS Exchange Server 日志。
Kerio 连接 (ESET Security for Kerio)
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
Kerio 连接配
置
✓ ✗ Kerio\Connect\mailserver.cfg
Kerio 连接配置
文件。
Kerio 连接日
志
✓ ✗ Kerio\Connect\Logs\{mail,error,security,debug,warning}.log
已选定的 Kerio
连接日志文件。
Kerio 控制 (ESET Security for Kerio)
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检测
Kerio 控制配
置
✓ ✗ Kerio\Connect\winroute.cfg
Kerio 控制配置
文件。
Kerio 控制日
志
✓ ✗ Kerio\Connect\Logs\{alert,error,security,debug,warning}.log
已选定的 Kerio
控制日志文件。
ESET Log Collector 命令行
命令行界面是一项支持在没有 GUI 的情况下使用 ESET Log Collector 的功能。例如,在安装 Server Core 或 Nano
Server 时,也比如需要或仅是希望使用命令行,而非 GUI 时。额外还有一个命令行,仅供将 ESET 二进制日志文件转
换为 XML 格式或文本文件。
命令行帮助 - 运行 start /wait ESETLogCollector.exe /?,显示语法帮助。它还列出了可以收集的可用目标
(项目)。列表内容取决于安装在运行 ESET Log Collector 的系统上已检测到的 ESET 安全产品类型。仅相关项目才可
用。
注意
我们建议在执行任何命令时使用 start /wait 前缀,因为 ESET Log Collector 基本上是一个 GUI 工具,而
Windows 命令行解释器 (shell) 不会等到可执行文件终止就会立即返回,并显示新提示。使用 start /wait 前缀时,
使 Windows shell 等到 ESET Log Collector 终止。
如果您是首次运行 ESET Log Collector,ESET Log Collector 会要求您接受最终用户许可协议 (EULA)。要接受 EULA,请
使用 /accepteula 参数运行第一个命令。任何后续命令的运行无需 /accepteula 参数。如果选择不接受最终用户
许可协议 (EULA) 中的条款并且不使用 /accepteula 参数,系统将不会执行您的命令。此外,必须将
/accepteula 参数指定为第一个参数,例如: start /wait ESETLogCollector.exe /accepteula
/age:90 /otype:fbin /targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip
用法:
12
[start /wait] ESETLogCollector.exe [options] <out_zip_file> - 根据指定选项收集日志,并创
建 ZIP 格式的输出压缩文件。
[start /wait] ESETLogCollector.exe /Bin2XML [/All] <eset_binary_log>
<output_xml_file> - 将收集的 ESET 二进制日志文件 (.dat) 转换为 XML 文件。
[start /wait] ESETLogCollector.exe /Bin2Txt [/All] <eset_binary_log>
<output_txt_file> - 将收集的 ESET 二进制日志文件 (.dat) 转换为文本文件。
选项:
/Age:<days> - 收集的日志记录的最长保留时间(以天为单位)。值范围在 0 到 999 之间,0 表示无限期,默
认值是 30。
/OType:<xml|fbin|obin> - ESET 日志的收集格式:
xml - 过滤的 XML
fbin - 过滤的二进制文件(默认值)
obin - 磁盘中的原始二进制文件
/All - 还要转换标记为“已删除”的记录。此参数仅在将收集的 ESET 二进制日志文件转换为 XML 或 TXT 时才
适用。
/Targets:<id1>[,<id2>...] - 要收集的项目的列表。如果未指定,将收集默认集。特殊值“全部”表示所有
目标。
/NoTargets:<id1>[,<id2>...] - 要跳过的项目的列表。此列表在“目标”列表后应用。
/Profile:<default|threat|all> - 收集配置文件是已定义的目标集:
Default - 用于一般支持案例的配置文件
Threat - 与威胁检测案例相关的配置文件
All - 选择所有可用目标
注意
选择过滤的 XML 或过滤的二进制文件收集格式时,“过滤”表示仅收集过去几天的记录(由 /Age:<days> 参数指
定)。如果选择磁盘中的原始二进制文件,所有 ESET 日志都将忽略 /Age:<days> 参数。对于其他日志(例如
Windows 事件日志、Microsoft SharePoint 日志或 IBM Domino 日志),将应用 /Age:<days> 参数,以便将非 ESET
日志记录限制在指定天数内,并无限期收集(复制)原始 ESET 二进制文件。
注意
/All 参数支持转换所有日志记录,包括已通过 GUI 删除但存在于标记为“已删除”的原始二进制文件中的记录(日
志记录在 GUI 中不可见)。
13
示例
此示例命令将语言更改为意大利语。可以使用任意可用语言:ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN,
FRA, FRC, HUN, CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR
/lang: ITA
14
示例
此示例命令在“过滤的二进制文件”收集模式下收集 ESET 产品配置、关于已隔离文件的信息、ESET 事件日志、ESET 检
测到的威胁日志和 ESET 计算机扫描日志,还收集过去 90 天的记录:
start /wait ESETLogCollector.exe /age:90 /otype:fbin
/targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip
示例
此示例命令在“磁盘中的原始二进制文件”收集模式下收集运行进程、系统事件日志、ESET SysInspector 日志、ESET
产品配置、ESET 事件日志和常规产品诊断日志:
start /wait ESETLogCollector.exe /otype:obin
/targets:proc,evlogsys,sysin,prodcnf,warn,diag collected_diag_logs.zip
示例
此示例命令在“过滤的 XML”收集模式下收集 ERA 服务器代理日志、ERA 服务器日志、ERA 配置和 ERA Rogue
Detection Sensor 日志,还收集过去 10 天的记录:
start /wait ESETLogCollector.exe /age:10 /otype:xml
/targets:eraag,erasrv,eraconf,erard collected_era_logs.zip
示例
此示例命令将收集的 ESET 二进制日志文件(计算机扫描日志)以及所有记录(包括标记为“已删除”的日志)转换为
XML 文件格式:
start /wait ESETLogCollector.exe /bin2xml /all
C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.xml类似地,收集的计算
机扫描日志文件将转换为文本文件,但忽略的日志将标记为“已删除”:
start /wait ESETLogCollector.exe /bin2txt
C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.txt
可用目标
这是所有潜在目标的完整列表,可以使用 /Targets: 选项指定的 ESET Log Collector 命令行收集这些目标。
注意
可能无法看到在此列出的所有目标。这是因为适用于系统的可用目标仅在运行命令行帮助 start /wait
ESETLogCollector.exe /? 时才会列出。未列出的目标不适用于系统或配置。
Proc 运行进程(开放式句柄和已加载的 DLL)
Drives
驱动器信息
Devices
设备信息
SvcsReg
服务注册表键内容
EvLogApp
应用程序事件日志
EvLogSys
系统事件日志
SetupAPI SetupAPI 日志
EvLogLSM 终端服务 - LSM 操作事件日志
EvLogWMI WMI Activity 操作事件日志
SysIn ESET SysInspector 日志
DrvLog
驱动程序安装日志
NetCnf
网络配置
WFPFil WFP 过滤器
InstLog ESET 安装程序日志
EfdeLogs EFDE 日志
EfdeLic EFDE 许可证数据
EfdeCfg EFDE 配置
EraAgLogs ERA 服务器代理日志
15
EraSrv ERA 服务器日志
EraConf ERA 配置
EraDumps ERA 进程信息和转储
EraRD ERA Rogue Detection Sensor 日志
EraMDM ERA MDMCore 日志
EraProx ERA 代理日志
EraTomcatCfg Apache Tomcat 配置
EraTomcatLogs Apache Tomcat 日志
EraProxyCfg Apache HTTP 代理配置
EraProxyLogs Apache HTTP 代理日志
EsaLogs ESA 日志
ProdCnf ESET 产品配置
DirList ESET 数据和安装目录文件列表
Drivers ESET 驱动程序
EsetReg ESET 注册表项内容
EsetCmpts ESET 组件
QInfo
有关已隔离文件的信息
QFiles
隔离的文件
QSmallFiles
小型隔离文件
QBigFiles
大型隔离文件
Warn ESET 事件日志
Threat ESET 检测到的威胁日志
OnDem ESET 计算机扫描日志
Hips ESET HIPS 日志
Fw ESET 网络防护日志
FwCnf ESET 个人防火墙配置
Web ESET 过滤的网站日志
Paren ESET 家长控制日志
Dev ESET 设备控制日志
WCam ESET 网络摄像头防护日志
WebCtl ESET Web 控制日志
OnDemDB ESET 手动服务器数据库扫描日志
HyperV ESET Hyper-V 服务器扫描日志
Spam ESET 垃圾邮件日志
Grey ESET 灰名单日志
SMTPProt ESET SMTP 防护日志
Email ESET 邮件服务器防护日志
EmDiag ESET 诊断电子邮件处理日志
ScanCache
本地缓存数据库
SpamDiag ESET 反垃圾邮件配置和诊断日志
Diag
常规产品诊断日志
16
ECPDiag ECP 诊断日志
pcap ESET pcap 日志
XAg MS Exchange 传输服务器代理注册
XEws MS Exchange EWS 日志
Domino Domino IBM_TECHNICAL_SUPPORT 日志 + notes.ini
SHPIO ESET SHPIO.log
SP MS SharePoint 日志
SHPReg SharePoint 注册表项内容
KConnCnf Kerio 连接配置
KConn Kerio 连接日志
KCtrlCnf Kerio 控制配置
KCtrl Kerio 控制日志
AllReg 完整的 Windows 注册表内容
WinsockCat Winsock LSP 目录
TmpList
临时目录中的文件列表
SchedTaks Windows 计划任务
Wmirepo WMI 库
WinSrvFeat Windows Server 角色和功能
LastPol
最新应用的策略
BlkF ESET 阻止的文件日志
SentF ESET 发送的文件日志
OneDrive MS OneDrive 扫描日志
Audit ESET 审核日志
HipsCfg HIPS 配置
HomeNetCfg
已连接的主页配置
<%STR_EULA%>
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
-
9
-
10
-
11
-
12
-
13
-
14
-
15
-
16
-
17
-
18
-
19
ESET Log Collector 4.2 は、ESET 製品がインストールされていないコンピュータでも、システムのさまざまなデータとログを収集するのに役立つツールです。
ESET Log Collector 4.2 の主な機能を以下にまとめました。
- ログの収集 - Windows イベントログ、ESET セキュリティ製品のログ、およびその他のアプリケーションのログを収集できます。
- システム情報 - システム情報、インストールされているソフトウェア、およびネットワーク構成など、システムに関する情報を収集できます。
- クラッシュダンプ - クラッシュダンプは、トラブルシューティングに役立つ追加情報を提供できるため、クラッシュが発生したときにクラッシュダンプを収集できます。
- カスタマイズ可能なエクスポート - 収集するデータとエクスポートする形式を選択できます。
ESET Log Collector 4.2 は、以下の場合に便利です。
- テクニカルサポートを受ける場合 - ESET
関連論文
-
ESET Log Collector 4.2 取扱説明書
-
-
-
-
-
-
-
-
-
