ESET Log Collector 4.9 取扱説明書

ESET Log Collector
用户指南
单击此处显示此文档的联机版本
版权所有 ©2023,所有者 ESET, spol. s r.o.
ESET Log Collector ESET, spol. s r.o. 开发
有关详细信息,请访问 https://www.eset.com。
保留所有权利。未经作者书面许可,不得以任何形式或任何方式(电子、机械、影印、录制、扫描或其他
方式)复制、在检索系统中存储或传输本文档的任何部分。
ESET, spol. s r.o. 保留更改任何所述应用程序软件的权利,恕不另行通知。
技术支持:https://support.eset.com
修订日期 2023年m月21日
1 介绍 1 ..................................................................................................................................................
2 ESET Log Collector 用户界面 1 .............................................................................................................
2.1 项目列表 / 收集的文件 3 ...................................................................................................................
3 ESET Log Collector 命令行 13 ...............................................................................................................
3.1 可用目标 16 ...................................................................................................................................
4 最终用户许可协议 18 ...........................................................................................................................
1
介绍
ESET Log Collector 应用程序的用途是收集目标计算机中的特定数据(例如配置和日志),以在处理支持案
例时便于收集客户计算机的信息。可以使用预定义的项目列表(或选择收集配置文件),来指定要收集的
信息、收集的日志记录的最长保留时间、收集的 ESET 日志的格式和输出 ZIP 文件(包含所有收集的文件和
信息)的名称。如果在未安装 ESET 安全产品的计算机上运行 ESET Log Collector,仅可以收集 Windows 事件
日志和运行进程转储。
ESET Log Collector 与您的 ESET 安全产品具有相同的系统要求。ESET Log Collector 可在任何版本的
Microsoft Windows 操作系统上运行。
ESET Log Collector 自动从系统中收集选定信息,以便更快速地解决问题。当某个案例需要在 ESET 技术支持
人员帮助下打开时,系统可能会要求您提供计算机中的日志。使用 ESET Log Collector 可以轻松收集所需的
信息。
ESET Log Collector 在单个可执行文件中包含所有语言。它让您可以在启动时切换语言,而无需下载正确的
本地化版本。要使用的语言会自动检测到,也可以明确选择。有两种方法可以明确指定语言:
1.使用命令行切换 /lang:<language_code>
2.将文件重命名为
ESETLogCollector_<language_code>.exe
语言代码的可用值:ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC,
HUN, CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE,
THA, TRK, UKR
ESET Log Collector 会作为 32 位应用程序进行分发。为了确保能够在 64 位系统上完整运行,它包含
一个作为资源嵌入的 64 位 ESET Log Collector 可执行文件,该文件会提取到 Temp 目录中,并在检测
到 64 位系统时执行。
可以在两种模式下使用 ESET Log Collector:
图形用户界面 (GUI)
命令行界面 (CLI)(从版本 1.8 开始)。当未指定任何命令行参数时,ESET Log Collector 将在 GUI
式下启动。
当使用 GUI 运行 ESET Log Collector 时,ESET 产品日志会作为原始二进制文件或过滤的二进制文件(默认为
过滤的二进制文件)进行收集。在导出过滤的二进制文件时,可以选择导出记录的最长保留时间。每个日
志文件的最大导出记录数为 100 万个。
ESET Log Collector 的另一个功能是将收集的 ESET 二进制日志文件 (.dat) 转换为 XML 或文本文件格式。
但是,只能使用 ESET Log Collector 命令行界面 (CLI) 转换收集的 ESET 二进制文件日志。
ESET Log Collector 用户界面
在从 ESET 网站下载 ESET Log Collector 后,启动 ESET Log Collector。接受最终用户许可协议 (EULA),ESET
Log Collector 将打开。如果选择不接受最终用户许可协议 (EULA) 中的条款,请单击取消,ESET Log Collector
将不会打开。
2
可以选择收集配置文件,或者自行选择项目。收集配置文件是已定义的项目集:
默认 - 已选定大多数项目的默认配置文件。用于一般的支持案例。(有关选定项目的详细列表,
请参阅项目列表部分)。
威胁检测 - 在许多项目中与默认配置文件重叠。尽管如此,与默认配置文件相比,威胁检测配置
文件侧重于收集有助于解决与恶意软件检测相关的支持案例的项目。(有关选定项目的详细列表,请
参阅项目列表部分)。
所有 - 选择全部可用的项目。
- 取消选择所有项目,并允许选中希望收集的日志的相应复选框。
自定义 - 在以下情况中将自动切换到此收集配置文件:更改以前选定的配置文件,并且当前的选
定项目组合不适用于上述任何配置文件。
可收集的显示项目列表会因为以下因素而发生改变:安装在系统上已检测到的 ESET 安全产品类型、
系统配置以及其他软件,例如 Microsoft Server 应用程序。仅相关项目才可用。
3
选择日志时间限制 [天] 和 ESET 日志收集模式(默认选项为过滤的二进制文件)。
ESET 日志收集模式:
过滤的二进制文件 - 通过日志时间限制 [天] 指定的天数过滤记录,这意味着仅收集最后天数内
的记录。
磁盘中的原始二进制文件 - 复制忽略 ESET 日志的日志时间限制 [天] 值的 ESET 二进制日志文件,
以在不受时间限制的情况下收集所有记录。但是,时间限制仍会应用于非 ESET 日志,例如 Windows
事件日志、Microsoft SharePoint 日志或 Domino 日志。
可以指定要保存压缩文件的位置,然后单击保存。压缩文件名已预定义。单击收集。在处理过程中,按相
同的按钮将随时中断应用程序的操作,因为在处理过程中,按钮标题将更改为取消。成功或失败由通知消
息指示。如果失败,日志面板将包含额外的错误信息。
使用密码保护存档 - 使用该复选框可激活密码保护,例如,当 Gmail 阻止发送包含已收集日志的存档文件
时。发送受密码保护的 ZIP 文件会防止 Gmail 干扰。
如果 ESET SysInspector 在计算机上不存在,而您单击收集,则系统会询问您是否要下载 ESET SysInspector。
如果您不想要收集 ESET SysInspector 日志,请使用复选框取消选中它。
在收集期间,可以查看底部的操作日志窗口,以查看当前正在进行的操作。完成收集后,将显示所有收集
和压缩的数据。这意味着收集成功,并且压缩文件(例如 emsx_logs.zip、ees_logs.zip eea_logs.zip)已保
存到指定位置。(有关详细信息,请参阅项目列表部分。)
项目列表 / 收集的文件
本节介绍包含在生成的 .
zip
文件中的文件。说明将根据信息类型(文件和项目)分为若干子部分。
位置 / 文件名 说明
metadata.txt 包含创建 .zip 压缩文件的日期、ESET Log Collector 版本、ESET 产品版本和基本许可信息。
collector_log.txt GUI 日志文件的副本,包含直到创建 .zip 文件之前的数据。
Windows 进程
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检
运行进程
(开放式句柄和
已加载的 DLL)
Windows\Processes\Processes.txt 包含计算机上的运行进程列表的文
本文件。对于每个进程,将打印以
下项:
PID
PID
线程数
按类型分组的开放式句柄数
加载的模块
运行进程的用户帐户
内存使用量
开始时间戳
内核和用户时间
I/O 统计信息
命令行
4
Windows 进程
运行进程
(开放式句柄和
已加载的 DLL)
Windows\ProcessesTree.txt 包含计算机上的运行进程树的文本
文件。对于每个进程,将打印以下
项:
PID
运行进程的用户帐户
开始时间戳
命令行
Windows 日志
项目名
收集配置文件
位置 / 文件名 说明
默认
应用程
序事件
日志
Windows\Logs\Application.xml 包含自定义 XML 格式的 Windows
用程序事件日志。仅包含过去 30 天
的消息。
系统事
件日志
Windows\Logs\System.xml 包含自定义 XML 格式的 Windows
统事件日志。仅包含过去 30 天的消
息。
安全事
件日志
Windows\Logs\Security.evtx Windows 安全事件日志文件。仅包含
过去 30 天的消息。
终端服
- LSM
操作事
件日志*
Windows\Logs\LocalSessionManager-Operational.evtx 包含有关 RDP 会话信息的 Windows
事件日志。
驱动程
序安装
日志
✗ Windows\Logs\catroot2_dberr.txt 包含有关在安装驱动程序时添加
“catstore”的目录的信息。
SetupAPI
日志*
✗ Windows\Logs\SetupAPI\setupapi*.log 设备和应用程序安装文本日志。
WMI
Activity
操作事
件日志
Windows\Logs\WMI-Activity.evtx 包含 WMI Activity 跟踪数据的
Windows 事件日志。仅包含过去 30
天的消息。
应用程
序事件
日志
Windows\Logs\Application.evtx Windows 应用程序事件日志文件。仅
包含过去 30 天的消息。
系统事
件日志
Windows\Logs\System.evtx Windows 系统事件日志文件。仅包含
过去 30 天的消息。
*Windows Vista 和更高版本
系统配置
项目名 收集配置文件 位置 / 文件名 说明
默认 威胁检测
驱动器信息 ✓ ✓ Windows\drives.txt
Windows\volumes.txt
收集的文本文件,包含有关磁盘驱动器和卷的信息。
设备信息 ✓ ✓ Windows/devices/*.txt
Windows\Devices\deviceTree.json
收集的多个文本文件中包含有关设备的类和接口信息。
服务注册表
键内容
✗ Windows\Services.reg 包含
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
的注册表项内容。当驱动器有问题时,收集此项可能有
帮助。
网络配置 ✓ ✓ Config\network.txt 收集的文本文件,包含网络配置。(执行 的结
ipconfig /all)
5
系统配置
Windows
Windows Updates\WinUpdates.txt 收集的文本文件,包含有关 Windows 更新的信息。
PowerShell
历史记录
Windows\PSHistory\{profileName}\*.* 收集
%appdata%\Microsoft\Windows\PowerShell\PSReadline\
中每个配置文件下具有 PowerShell 历史记录的文本文件。
收集 PS 版本 5 及以上版本的历史记录,其中
PSReadLine 应默认可用。
ESET
SysInspector
日志
✓ ✓ Config\SysInspector.esil SysInspector 日志。它可能改为包含 SysInspector XML
式,具体取决于所使用的 SysInspector 应用程序的版本。
Winsock LSP
目录
✓ ✓ Config\WinsockLSP.txt 收集 netsh winsock 显示目录命令的输出。
WFP 过滤
器*
✓ ✓ Config\WFPFilters.xml 收集的 XML 格式的 WFP 过滤器配置。
完整的
Windows
册表内容
Windows\Registry\* 收集的多个二进制文件,包含 Windows 注册表数据。
临时目录中
的文件列表
✓ ✓ Windows\TmpDirs\*.txt 收集的多个文本文件,包含系统用户临时目
、%windir%/temp、%TEMP% %TMP% 目录的内容。
Windows
划任务
Windows\Scheduled Tasks\*.* Windows Task Scheduler 收集的包含所有任务的多个
xml 文件,可帮助检测将攻击 Task Scheduler 的恶意软件。
因为文件位于子文件夹中,因此将收集整个结构。
WMI Windows\WMI Repository\*.* 收集的多个包含 WMI 数据库数据(元信息、定义和
WMI 类的静态数据)的二进制文件。收集这些文件可能
帮助识别将 WMI 用于持续性的恶意软件(例如 Turla)。
因为 WMI 文件可能位于子文件夹中,因此将收集整个
结构。
Shim 数据
Windows\Shim Databases\*.sdb 位于 %SystemRoot%\apppatch 目录中的 Shim 数据库文
件。
预回迁文件 Windows\Prefetch files\*.sdb 位于 %SystemRoot%\Prefetch 目录中的预回迁文件。
Windows
Server 角色
和功能
Windows\server_features.txt 包含所有 Windows Server 功能树的文本文件。每个功能
包含以下信息:
已安装的状态
本地化的名称
代码名称
状态(可用在 Microsoft Windows Server 2012 及更高
版本上)
*Windows 7 和更高版本
ESET 安装程序
项目名 收集配置文件 位置 / 文件名 说明
默认 威胁检测
ESET 安装程序日
ESET\Installer\*.log 安装 ESET NOD32 Antivirus ESET Smart Security 10
Premium 产品期间创建的安装日志。
ESET PROTECT
项目名
收集配置文件
位置 / 文件名 说明
默认
ESET
PROTECT
服务器日
✗ ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip ZIP 压缩
文件中创建
服务器产品
日志。它包
含跟踪、状
态和上一个
错误日志。
6
ESET PROTECT
ESET
PROTECT
服务器代
理日志
✗ ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip ZIP 压缩
文件中创建
服务器代理
产品日志。
它包含跟踪、
状态和上一
个错误日志。
ESET
PROTECT
进程信息
和转储
ERA\Server\Process and old
dump\RemoteAdministratorServerDiagnostic<datetime>.zip
服务器进程
转储。
ESET
PROTECT
进程信息
和转储
ERA\Agent\Process and old
dump\RemoteAdministratorAgentDiagnostic<datetime>.zip
服务器代理
进程转储。
ESET
PROTECT
配置
ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip ZIP 压缩文
件中的服务
器配置和应
用程序信息
文件。
ESET
PROTECT
配置
✗ ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip ZIP 压缩文
件中的服务
器代理配置
和应用程序
信息文件。
ESET
PROTECT
Rogue
Detection
Sensor
ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip 包含 RD
Sensor 跟踪
日志、上一
个错误日志、
状态日志、
配置、转储
和常规信息
文件的 ZIP
文件。
ESET
PROTECT
MDMCore
日志
ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip 包含
MDMCore
跟踪日志、
上一个错误
日志、状态
日志、转储
和常规信息
文件的 ZIP
文件。
ESET
PROTECT
代理日志
✗ ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip 包含 ERA
理跟踪日志、
上一个错误
日志、状态
日志、配置、
转储和常规
信息文件的
ZIP 文件。
ESET
PROTECT
服务器代
理数据库
✗ ERA\Agent\Database\data.db ESET
PROTECT
务器代理数
据库文件。
7
ESET PROTECT
Apache
Tomcat
配置
✗ ERA\Apache\Tomcat\conf\*.* Apache
Tomcat
置文件,它
包含不带敏
感信息的
server.xml
文件副本。
Apache
Tomcat
日志
✗ ERA\Apache\Tomcat\logs\*.log
ERA\Apache\Tomcat\EraAppData\logs\*.log
ERA\Apache\Tomcat\EraAppData\WebConsole\*.log
文本格式的
Apache
Tomcat
志位于
Apache
Tomcat
装或应用程
序目录中。
它还包含
WebConsole
日志。
Apache
HTTP
理配置
✗ ERA\Apache\Proxy\conf\httpd.conf Apache
HTTP 代理
配置文件。
Apache
HTTP
理日志
✗ ERA\Apache\Proxy\logs\*.log 文本格式的
Apache
HTTP 代理
日志所在位
置。
*ESET PROTECT 服务器或 ESET PROTECT 服务器代理
ESET Bridge
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁
检测
ESET Bridge 配置 ESET Bridge\pkgid 位于 ESET Bridge 安装目录中的配置
文件。
ESET Bridge 日志 ESET Bridge\logs\*.* 位于 ESET Bridge 应用程序数据目录
中的日志文件。
ESET Bridge 转储 ESET Bridge\dumps\*.* ESET Bridge 转储文件。
Nginx 日志 ESET Bridge\Nginx\logs\*.log
ESET Bridge\Nginx\conf\*.*
Nginx 日志文件(不会收集
.key
.pfx
)。
ESET Direct Endpoint Management 插件
项目名
收集配置文
位置 / 文件名 说明
默认 威胁
检测
eRMMI ✗ ERMMI\data\*.* 位于 ERMMI 目录中的应用程序数据文件。
用于 Connectwise
Automate 的端点插件日志
ERMMI\EEPCA\Logs\*.* 收集用于 Connectwise Automate 的端点插
件日志文件。
用于 Connectwise
Automate 的端点插件二进
制文件
ERMMI\EEPCA\bin\*.* 收集用于 Connectwise Automate 的端点插
件二进制文件(
.msi
.exe
可执行文件
除外)。
ERMMI 日志 ✗ ERMMI\logs\*.* 收集位于 ERMMI 安装目录中的日志文件。
8
ESET Direct Endpoint Management 插件
项目名
收集配置文
位置 / 文件名 说明
默认 威胁
检测
ERMMI 二进制文件 ✗ ERMMI\bin\*.* 收集位于 ERMMI 安装目录中的二进制文件
.msi
.exe
可执行文件除外)。
ESET 配置
项目名
收集配置文件
位置 / 文件名 说明
默认
ESET
品配置
info.xml 详细介绍系统上安装的 ESET 产品的信息性 XML 文件。它包含基本的
系统信息、安装的产品信息和产品模块列表。
ESET
品配置
versions.csv 自版本 4.0.3.0 以来,始终包含该文件(无任何相关性)。它包含
已安装的产品信息。versions.csv 必须存在于要包含的 ESET AppData
录中。
ESET
品配置
features_state.txt 包含有关 ESET 产品功能及其状态(活动、非活动、未集成)的信息。
将始终收集该文件,且它不与任何可选择的项目绑定。
ESET
品配置
Configuration\product_conf.xml 通过导出的产品配置创建 XML。
ESET
据和安
装目录
文件列
ESET\Config\data_dir_list.txt 创建包含 ESET AppData 目录及其全部子目录中的文件列表的文本文
件。
ESET
据和安
装目录
文件列
ESET\Config\install_dir_list.txt 创建包含 ESET Install 目录及其全部子目录中的文件列表的文本文件。
ESET
动程序
ESET\Config\drivers.txt 收集有关安装的 ESET 驱动程序的信息。
ESET
人防火
墙配置
ESET\Config\EpfwUser.dat 复制包含 ESET 个人防火墙配置的文件。
ESET
册表项
内容
ESET\Config\ESET.reg 包含 HKLM\SOFTWARE\ESET 的注册表项内容
Winsock
LSP
Config/WinsockLSP.txt 收集 netsh winsock 显示目录命令的输出。
最新应
用的策
ESET\Config\lastPolicy.dat ESET PROTECT 应用的策略。
ESET
ESET\Config\msi_features.txt 收集的有关可用 ESET 产品 MSI 安装程序组件的信息。
ESET
可证
ESET\Config\License\*.* 已安装 ESET 产品的许可证文件。
HIPS
ESET\Config\HipsRules.bin HIPS 规则数据。
网络检
查器配
ESET\Config\epfwdata.bin 网络检查器配置数据。
已连接
的主页
配置
ESET\Config\homenet.dat 已连接的主页数据。
9
隔离区
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁
检测
有关已隔离文件的信息 ESET\Quarantine\quar_info.txt 创建包含已隔离对象列表的文
本文件。
小型隔离文件 (< 250KB) ESET\Quarantine\*.*(< 250KB) 隔离文件小于 250 KB。
大型隔离文件 (> 250KB) ESET\Quarantine\*.*(> 250KB) 隔离文件大于 250 KB。
可疑文件(使用 ESET
Inspect 日志项目收集)
Config\SysInspector.esil ESET SysInspector 认为可疑的
所有文件。
ESET 日志
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁
检测
ESET 事件日志 ESET\Logs\Common\warnlog.dat 二进制文件格式的 ESET 产品事
件日志。
ESET 检测到的威胁
日志
ESET\Logs\Common\virlog.dat 二进制文件格式的 ESET 检测到
的威胁日志。
ESET 计算机扫描日
ESET\Logs\Common\eScan\*.dat 二进制文件格式的 ESET 计算机
扫描日志。
ESET HIPS 日志* ESET\Logs\Common\hipslog.dat 二进制文件格式的 ESET HIPS
志。
ESET 家长控制日
志*
ESET\Logs\Common\parentallog.dat 二进制文件格式的 ESET 家长控
制日志。
ESET 设备控制日
志*
ESET\Logs\Common\devctrllog.dat 二进制文件格式的 ESET 设备控
制日志。
ESET 网络摄像头防
护日志*
ESET\Logs\Common\webcamlog.dat 二进制文件格式的 ESET 网络摄
像头防护日志。
ESET 银行业务和付
款保护日志
ESET\Logs\Common\bpplog.dat 二进制文件格式的 ESET 银行业
务和付款保护日志。
ESET 阻止的文件日
ESET\Logs\Common\blocked.dat 二进制文件格式的 ESET 阻止的
文件日志。
ESET 发送的文件日
ESET\Logs\Common\sent.dat 二进制文件格式的 ESET 发送的
文件日志。
ESET 审核日志 ESET\Logs\Common\audit.dat
ESET\Logs\Common\audit\*.*
二进制文件格式的 ESET 审核日
志。
*选项仅在文件存在时显示。
ESET 服务器产品线日志
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁
检测
ESET 手动服务器
数据库扫描日志
ESET\Logs\Common\ServerOnDemand\*.dat 二进制文件格式的
ESET 服务器手动日志。
ESET Hyper-V 服务
器扫描日志
ESET\Logs\Common\HyperVOnDemand\*.dat 二进制文件格式的
ESET Hyper-V 服务器扫
描日志。
ESET OneDrive
描日志
ESET\Logs\Common\O365OnDemand\*.dat 二进制文件格式的
ESET OneDrive 扫描日
志。
10
ESET 网络日志
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检
ESET 网络防护日
志*
ESET\Logs\Net\epfwlog.dat 二进制文件格式的 ESET 网络
防护日志。
ESET 过滤的网站日志
*
ESET\Logs\Net\urllog.dat 二进制文件格式的 ESET 网站
过滤日志。
ESET Web 控制日
志*
ESET\Logs\Net\webctllog.dat 二进制文件格式的 ESET Web
控制日志。
ESET pcap 日志 ESET\Logs\Net\EsetProxy*.pcapng 复制 ESET pcap 日志。
*选项仅在文件存在时显示。
ESET 诊断
项目名
收集配置文
位置 / 文件名 说明
默认 威胁
检测
本地缓存数据库 ESET\Diagnostics\local.db ESET 扫描的文件数据库。
常规产品诊断日志 ✗ ESET\Diagnostics\*.* ESET 诊断文件夹中的文件(小型转储)。
ECP 诊断日志 ESET\Diagnostics\ECP\*.* 如果在激活产品或与激活服务器通信时出现
问题,将生成 ESET 通信协议诊断日志。
EPNS 诊断日志 ✗ ESET\Diagnostics\*.* 如果出现问题,将生成 ESET 推送通知服务诊
断日志。
漏洞和修补程序管理
调试日志
ESET\Diagnostics\Vapm\*.* ESET 漏洞和修补程序管理诊断日志文件。
更新
项目名 收集配置文件 位置 / 文件名 说明
默认 威胁检测
产品更新日志 ESET\Update\MicroPcu\*.* ESET 产品 μ-PCU 更新文件。
ESET Secure Authentication
项目名
收集配
置文件
位置 / 文件名 说明
ESA
✗ ESA\*.log
ESA\logs\*.*
ESET Secure Authentication 导出的日志。
ESA
✗ ESA\logs\elastic\*.* 其他 ESET Secure Authentication 日志文件。
ESA
步服务
器代理
日志
✗ ESA\Synchronization
Agent\*.*
ESET Secure Authentication 同步服务器代理导出的日志。这
些文件是从版本 4.9.0.0 开始收集的。
11
ESET Inspect
项目名
收集配置
文件 位置 / 文件名 说明
默认 威胁
检测
EI 服务器日志 ✗ EEI\Server\Logs\*.log 检查服务器产品文本日志。
EI Connector 日志 ✗ EEI\Agent\Logs\*.log
检查连接器产品文本日志。
EI 服务器配置 ✗ EEI\Server\eiserver.ini 包含检查服务器产品配置的 .ini 文件。
EI Connector 配置
✗ EEI\Agent\eiconnector.ini 包含检查连接器产品配置的 .ini 文件。
EI 服务器策略 EEI\Server\eiserver.policy.ini 包含检查服务器产品策略的 .ini 文件。
EI Connector 策略 EEI\Agent\eiconnector.policy.ini 包含检查连接器产品策略的 .ini 文件。
EEI 服务器证书 ✗ EEI\Server\Certificates\*.* 包含由检查服务器产品使用的证书文件。因
为文件位于子文件夹中,因此将收集整个结
构。
EEI Connector 证书 ✗ EEI\Agent\Certificates\*.* 包含由检查连接器产品使用的证书文件。因
为文件位于子文件夹中,因此将收集整个结
构。
EI 服务器转储 ✗ EEI\Server\Diagnostics\*.* 检查服务器产品转储文件。
MySQL Server 配置 EI\My SQL\my.ini 包含由 ESET Inspect Server 产品使用的 MySQL
Server 配置的 .ini 文件。
MySQL Server 日志 EEI\My SQL\EEI.err ESET Inspect Server 产品使用的 MySQL
Server 的错误文本日志。
ESET Full Disk Encryption
项目名 收集配置文件 位置 / 文件名 说明
默认 威胁检测
EFDE 日志 ✗ EFDE\AIS\Logs\*.*
EFDE\Core\*.log
ESET Full Disk Encryption 中导出的日
(AIS Core)。
EFDE 许可证数据 EFDE\AIS\Licesne\*.* EFDE 的许可证数据文件。
EFDE 配置 EFDE\AIS\lastpolicy.dat 包含 EFDE 的配置。
ESET 电子邮件日志(ESET Mail Security for Exchange、ESET Mail Security for Domino)
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁
检测
ESET 垃圾邮件日
✗ ESET\Logs\Email\spamlog.dat 二进制文件格式的 ESET 垃圾
邮件日志。
ESET 灰名单日志 ✗ ESET\Logs\Email\greylistlog.dat 二进制格式的 ESET 灰名单日
志。
ESET SMTP 防护日
✗ ESET\Logs\Email\smtpprot.dat 二进制文件格式的 ESET
SMTP 防护日志。
ESET 邮件服务器
防护日志
✗ ESET\Logs\Email\mailserver.dat 二进制文件格式的 ESET 邮件
服务器防护日志。
ESET 诊断电子邮
件处理日志
✗ ESET\Logs\Email\MailServer\*.dat 二进制文件格式的 ESET 诊断
电子邮件处理日志,该日志
直接从磁盘复制。
ESET 垃圾邮件日志
*
✗ ESET\Logs\Email\spamlog.dat 二进制文件格式的 ESET 垃圾
邮件日志。
ESET 反垃圾邮件
配置和诊断日志
✗ ESET\Logs\Email\Antispam\antispam.*.log
ESET\Config\Antispam\*.*
复制 ESET 反垃圾邮件配置和
诊断日志。
12
*选项仅在文件存在时显示。
ESET SharePoint 日志 (ESET Security for SharePoint)
项目名 收集配置文件 位置 / 文件名 说明
默认 威胁检测
ESET SHPIO.log ESET\Log\ESHP\SHPIO.log SHPIO.exe 实用程序中的 ESET 诊断日志。
特定于产品的日志 - 特定产品有多种选择。
Domino (ESET Mail Security for Domino)
项目名
收集配
置文件
位置 / 文件名 说明
Domino
IBM_TECHNICAL_SUPPORT
+ notes.ini
✗ LotusDomino\Log\notes.ini IBM Domino 配置文
件。
Domino
IBM_TECHNICAL_SUPPORT
+ notes.ini
LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.* IBM Domino 日志,
时间不超过 30 天。
MS SharePoint (ESET Security for SharePoint)
项目名
收集
配置
文件
位置 / 文件名 说明
MS
SharePoint
日志
✗ SharePoint\Logs\*.log MS SharePoint 日志,时间不超过 30 天。
SharePoint
注册表项内
SharePoint\WebServerExt.reg 包含 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
Tools\Web Server Extensions 的注册表项内容。仅在安装了
ESET Security for SharePoint 时可用。
MS Exchange (ESET Mail Security for Exchange)
项目名
收集配置文
位置 / 文件名 说明
默认 威胁检
MS Exchange 传输服务器
代理注册
Exchange\agents.config MS Exchange 传输服务器代理注册 config file。
适用于 Microsoft Exchange Server 2007 及更
高版本。
MS Exchange 传输服务器
代理注册
Exchange\sinks_list.txt MS Exchange 事件接收注册转储。适用于
Microsoft Exchange Server 2000 和 2003。
MS Exchange EWS 日志 Exchange\EWS\*.log 收集 EWS Exchange Server 日志。
13
ESET Log Collector 命令行
命令行界面是一项支持在没有 GUI 的情况下使用 ESET Log Collector 的功能。例如,在安装 Server Core
Nano Server 时,也比如需要或仅是想使用命令行,而非 GUI 时。额外还有一个命令行,仅供将 ESET 二进
制日志文件转换为 XML 格式或文本文件。
命令行帮助 - 运行 start /wait ESETLogCollector.exe /?,显示语法帮助。它还列出了可以收集的
可用目标(项目)。列表内容取决于安装在运行 ESET Log Collector 的系统上已检测到的 ESET 安全产品类型。
仅相关项目才可用。
我们建议在执行任何命令时使用 start/wait 前缀,因为 ESET Log Collector 基本上是一个 GUI 工具,
Windows 命令行解释器 (shell) 不会等到可执行文件终止就会立即返回,并显示新提示。使用
start /wait 前缀时,使 Windows shell 等到 ESET Log Collector 终止。
如果您是首次运行 ESET Log Collector,ESET Log Collector 会要求您接受最终用户许可协议 (EULA)。要接受
EULA,请使用 /accepteula 参数运行第一个命令。任何后续命令的运行无需 /accepteula 参数。如果
选择不接受最终用户许可协议 (EULA) 中的条款并且不使用 /accepteula 参数,系统将不会执行您的命令。
此外,/accepteula 参数必须指定为第一个参数,例如:
start /wait ESETLogCollector.exe /accepteula /age:90 /otype:fbin /targets:prodcnf,qi
nfo,warn,threat,ondem collected_eset_logs.zip
用法:
[start /wait] ESETLogCollector.exe [options] <out_zip_file> - 根据指定选项收集日志,并
创建 ZIP 格式的输出压缩文件。
[start /wait] ESETLogCollector.exe /Bin2XML [/All] [/UTC] <eset_binary_log>
<output_xml_file> - 将收集的 ESET 二进制日志文件 (.dat) 转换为 XML 文件。
[start /wait] ESETLogCollector.exe /Bin2Txt [/All] [/UTC] <eset_binary_log>
<output_txt_file> - 将收集的 ESET 二进制日志文件 (.dat) 转换为文本文件。
选项:
/Age:<days> - 收集的日志记录的最长保留时间(以天为单位)。值范围在 0 到 999 之间,0 表示无
限期,默认值是 30。
选择过滤的 XML 或过滤的二进制文件收集格式时,“过滤”表示将仅收集过去几天的记录(由
/Age:<days> 参数指定)。如果选择磁盘中的原始二进制文件,则所有 ESET 日志都将忽略
/Age:<days> 参数。对于其他日志(例如 Windows 事件日志、Microsoft SharePoint 日志或 IBM
Domino 日志),将应用 /Age:<days> 参数,以便可以将非 ESET 日志记录限制在指定天数内,并
无限期收集(复制)原始 ESET 二进制文件。
/OType:<xml|fbin|obin> - ESET 日志的收集格式:
xml - 过滤的 XML
fbin - 过滤的二进制文件(默认值)
14
obin - 磁盘中的原始二进制文件
/All - 还要转换标记为“已删除”的记录。此参数仅当将收集的 ESET 二进制日志文件转换为 XML TXT
时才适用。
参数 /All 支持转换所有日志记录,包括已通过主程序窗口删除但存在于标记为“已删除”的原始
二进制文件中的记录(日志记录在主程序窗口中不可见)。
/UTC - 将日志记录的时间格式从本地时间转换为 UTC 格式。
/Targets:<id1>[,<id2>...] - 要收集的项目的列表。如果未指定,将收集默认集。特殊值“全部”表
示所有目标。
/NoTargets:<id1>[,<id2>...] - 要跳过的项目的列表。此列表在“目标”列表后应用。
/Profile:<default|threat|all> - 收集配置文件是已定义的目标集:
Default - 用于一般支持案例的配置文件
Threat - 与威胁检测案例相关的配置文件
All - 选择所有可用目标
/ProtectArch - 使用密码保护存档。
15
16
此示例命令将语言更改为意大利语。可以使用任意可用语言:
ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS, CHT,
ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK,
UKR
/lang: ITA
此示例命令在“过滤的二进制文件”收集模式下收集 ESET 产品配置、关于已隔离文件的信息、ESET 事件日志、ESET 检测到的威胁日志和 ESET 计算机
扫描日志,还收集过去 90 天的记录:
start /wait ESETLogCollector.exe /age:90 /otype:fbin /targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip
此示例命令在“磁盘中的原始二进制文件”收集模式下收集运行进程、系统事件日志、ESET SysInspector 日志、ESET 产品配置、ESET 事件日志和常
规产品诊断日志:
start /wait ESETLogCollector.exe /otype:obin /targets:proc,evlogsys,sysin,prodcnf,warn,diag collected_diag_logs.zip
此示例命令在“过滤的 XML”收集模式下收集 ERA 服务器代理日志、ERA 服务器日志、ERA 配置和 ERA Rogue Detection Sensor 日志,还收集过
去 10 天的记录:
start /wait ESETLogCollector.exe /age:10 /otype:xml /targets:eraag,erasrv,eraconf,erard collected_era_logs.zip
此示例命令将收集的 ESET 二进制日志文件(计算机扫描日志)以及所有记录(包括标记为“已删除”的日志)转换为 XML 文件格式:
start /wait ESETLogCollector.exe /bin2xml /all C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.xml
类似地,收集的计算机扫描日志文件将转换为文本文件,但忽略的日志将标记为“已删除”:
start /wait ESETLogCollector.exe /bin2txt C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.txt
可用目标
这是所有潜在目标的完整列表,可以使用 /Targets: 选项指定的 ESET Log Collector 命令行收集这些目标。
您可能只看到此处列出的一些目标。这是因为适用于系统的可用目标仅在运行命令行帮助 start
/wait ESETLogCollector.exe /? 时才会列出。未列出的目标不适用于系统或配置。
Proc 运行进程(开放式句柄和已加载的 DLL)
Drives 驱动器信息
Devices 设备信息
SvcsReg 服务注册表键内容
EvLogApp 应用程序事件日志
EvLogSys 系统事件日志
EvLogSec 安全事件日志
SetupAPI SetupAPI 日志
EvLogLSM 终端服务 - LSM 操作事件日志
EvLogWMI WMI Activity 操作事件日志
SysIn ESET SysInspector 日志
DrvLog 驱动程序安装日志
NetCnf 网络配置
WFPFil WFP 过滤器
InstLog ESET 安装程序日志
EfdeLogs EFDE 日志
EfdeLic EFDE 许可证数据
EfdeCfg EFDE 配置
EraAgLogs ESET PROTECT 服务器代理日志
EraAgDb ESET PROTECT 数据库
EraSrv ESET PROTECT 服务器日志
EraConf ESET PROTECT 配置
EraDumps ESET PROTECT 进程信息和转储
EraRD ESET PROTECT Rogue Detection Sensor 日志
17
EraMDM ESET PROTECT MDMCore 日志
EraProx ESET PROTECT 代理日志
EraTomcatCfg Apache Tomcat 配置
EraTomcatLogs Apache Tomcat 日志
EraProxyCfg Apache HTTP 代理配置
EraProxyLogs Apache HTTP 代理日志
EsaLogs ESET Secure Authentication 日志
EsaSyncAgentLogs ESET Secure Authentication 同步服务器代理日志
ProdCnf ESET 产品配置
DirList ESET 数据和安装目录文件列表
Drivers ESET 驱动程序
EsetReg ESET 注册表项内容
EsetCmpts ESET 组件
QInfo 有关已隔离文件的信息
QFiles 隔离的文件
QSmallFiles 小型隔离文件
QBigFiles 大型隔离文件
Warn ESET 事件日志
Threat ESET 检测到的威胁日志
OnDem ESET 计算机扫描日志
Hips ESET HIPS 日志
Fw ESET 网络防护日志
FwCnf ESET 个人防火墙配置
Web ESET 过滤的网站日志
Paren ESET 家长控制日志
Dev ESET 设备控制日志
WCam ESET 网络摄像头防护日志
BPP ESET 银行业务和付款保护日志
WebCtl ESET Web 控制日志
OnDemDB ESET 手动服务器数据库扫描日志
HyperV ESET Hyper-V 服务器扫描日志
Spam ESET 垃圾邮件日志
Grey ESET 灰名单日志
SMTPProt ESET SMTP 防护日志
Email ESET 邮件服务器防护日志
EmDiag ESET 诊断电子邮件处理日志
LocalCache 本地缓存数据库
SpamDiag ESET 反垃圾邮件配置和诊断日志
Diag 常规产品诊断日志
ECPDiag ECP 诊断日志
pcap ESET pcap 日志
XAg MS Exchange 传输服务器代理注册
XEws MS Exchange EWS 日志
Domino Domino IBM_TECHNICAL_SUPPORT 日志 + notes.ini
SHPIO ESET SHPIO.log
SP MS SharePoint 日志
SHPReg SharePoint 注册表项内容
AllReg 完整的 Windows 注册表内容
/