ESET Log Collector 4.8 取扱説明書

タイプ
取扱説明書
ESET Log Collector
用户指南
单击此处显示此文档的联机版本
版权所有 ©2023,所有者 ESET, spol. s r.o.
ESET Log Collector ESET, spol. s r.o. 开发
有关详细信息,请访问 https://www.eset.com。
保留所有权利。未经作者书面许可,不得以任何形式或任何方式(电子、机械、影印、录制、扫描或其他
方式)复制、在检索系统中存储或传输本文档的任何部分。
ESET, spol. s r.o. 保留更改任何所述应用程序软件的权利,恕不另行通知。
技术支持:https://support.eset.com
修订日期 2023年m月5日
1 介绍 1 ..................................................................................................................................................
2 ESET Log Collector 用户界面 1 .............................................................................................................
2.1 项目列表 / 收集的文件 3 ...................................................................................................................
3 ESET Log Collector 命令行 11 ...............................................................................................................
3.1 可用目标 15 ...................................................................................................................................
4 最终用户许可协议 17 ...........................................................................................................................
1
介绍
ESET Log Collector 应用程序的用途是收集目标计算机中的特定数据(例如配置和日志),以在处理支持案
例时便于收集客户计算机的信息。在预定义的项目列表中,可以指定要收集的信息、收集的日志记录的最
长保留时间、收集的 ESET 日志的格式和输出 ZIP 文件(包含所有收集的文件和信息)的名称。如果在未安
ESET 安全产品的计算机上运行 ESET Log Collector,仅可以收集 Windows 事件日志和运行进程转储。
ESET Log Collector 与您的 ESET 安全产品具有相同的系统要求。ESET Log Collector 可在任何版本的
Microsoft Windows 操作系统上运行。
ESET Log Collector 自动从系统中收集选定信息,以便更快速地解决问题。当某个案例需要在 ESET 技术支持
人员帮助下打开时,系统可能会要求您提供计算机中的日志。使用 ESET Log Collector 可以轻松收集所需的
信息。
ESET Log Collector 在单个可执行文件中包含所有语言。它让您可以在启动时切换语言,而无需下载正确的
本地化版本。要使用的语言会自动检测到,也可以明确选择。有两种方法可以明确指定语言:
1.使用命令行切换 /lang:<language_code>
2.将文件重命名为 ESETLogCollector_<language_code>.exe
语言代码的可用值:ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC,
HUN, CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE,
THA, TRK, UKR
ESET Log Collector 作为 32 位应用程序进行分发。为了确保在 64 位系统上可以完整运行,它包含作
为资源嵌入的 ESET Log Collector 的 64 位可执行文件,此文件将提取到 Temp 目录中,并在检测到
64 位系统时执行。
可以在两种模式下使用 ESET Log Collector:
图形用户界面 (GUI)
命令行界面 (CLI)(从版本 1.8 开始)。当未指定任何命令行参数时,ESET Log Collector 将在 GUI
式下启动。
当使用 GUI 运行 ESET Log Collector 时,ESET 产品日志会作为原始二进制文件或过滤的二进制文件(默认为
过滤的二进制文件)进行收集。在导出过滤的二进制文件时,可以选择导出记录的最长保留时间。每个日
志文件的最大导出记录数为 100 万个。
ESET Log Collector 的另一个功能是将收集的 ESET 二进制日志文件 (.dat) 转换为 XML 或文本文件格式。
但是,只能使用 ESET Log Collector 命令行界面 (CLI) 转换收集的 ESET 二进制文件日志。
ESET Log Collector 用户界面
在从 ESET 网站下载 ESET Log Collector 后,启动 ESET Log Collector。接受最终用户许可协议 (EULA),ESET
Log Collector 将打开。如果选择不接受最终用户许可协议 (EULA) 中的条款,请单击取消,ESET Log Collector
将不会打开。
2
可以选择收集配置文件,或者自行选择项目。收集配置文件是已定义的项目集:
默认 - 已选定大多数项目的默认配置文件。用于一般的支持案例。(有关选定项目的详细列表,
请参阅项目列表部分)。
威胁检测 - 在许多项目中与默认配置文件重叠。尽管如此,与默认配置文件相比,威胁检测配置
文件侧重于收集有助于解决与恶意软件检测相关的支持案例的项目。(有关选定项目的详细列表,请
参阅项目列表部分)。
所有 - 选择全部可用的项目。
- 取消选择所有项目,并允许选中希望收集的日志的相应复选框。
自定义 - 在以下情况中将自动切换到此收集配置文件:更改以前选定的配置文件,并且当前的选
定项目组合不适用于上述任何配置文件。
可收集的显示项目列表会因为以下因素而发生改变:安装在系统上已检测到的 ESET 安全产品类型、
系统配置以及其他软件,例如 Microsoft Server 应用程序。仅相关项目才可用。
选择日志时间限制 [天] 和 ESET 日志收集模式(默认选项为过滤的二进制文件)。
3
ESET 日志收集模式:
过滤的二进制文件 - 通过日志时间限制 [天] 指定的天数过滤记录,这意味着仅收集最后天数内
的记录。
磁盘中的原始二进制文件 - 复制忽略 ESET 日志的日志时间限制 [天] 值的 ESET 二进制日志文件,
以在不受时间限制的情况下收集所有记录。但是,时间限制仍会应用于非 ESET 日志,例如 Windows
事件日志、Microsoft SharePoint 日志或 Domino 日志。
可以指定要保存压缩文件的位置,然后单击保存。压缩文件名已预定义。单击收集。在处理过程中,按相
同的按钮将随时中断应用程序的操作,因为在处理过程中,按钮标题将更改为取消。成功或失败由通知消
息指示。如果失败,日志面板将包含额外的错误信息。
如果 ESET SysInspector 在计算机上不存在,而您单击收集,则系统会询问您是否要下载 ESET SysInspector。
如果您不想要收集 ESET SysInspector 日志,请使用复选框取消选中它。
在收集期间,可以查看底部的操作日志窗口,以查看当前正在进行的操作。完成收集后,将显示所有收集
和压缩的数据。这意味着收集成功,并且压缩文件(例如 emsx_logs.zip、ees_logs.zip eea_logs.zip)已保
存到指定位置。(有关详细信息,请参阅项目列表部分。)
项目列表 / 收集的文件
本节介绍包含在生成的 .
zip
文件中的文件。说明将根据信息类型(文件和项目)分为若干子部分。
位置 / 文件名 说明
metadata.txt 包含创建 .zip 压缩文件的日期、ESET Log Collector 版本、ESET 产品版本和基本许可信息。
collector_log.txt GUI 日志文件的副本,包含直到创建 .zip 文件之前的数据。
Windows 进程
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检
运行进程
(开放式句柄和
已加载的 DLL)
Windows\Processes\Processes.txt 包含计算机上的运行进程列表的文
本文件。对于每个进程,将打印以
下项:
PID
PID
线程数
按类型分组的开放式句柄数
加载的模块
运行进程的用户帐户
内存使用量
开始时间戳
内核和用户时间
I/O 统计信息
命令行
运行进程
(开放式句柄和
已加载的 DLL)
Windows\ProcessesTree.txt 包含计算机上的运行进程树的文本
文件。对于每个进程,将打印以下
项:
PID
运行进程的用户帐户
开始时间戳
命令行
4
Windows 日志
项目名
收集
配置
文件
位置 / 文件名 说明
应用程
序事件
日志
✓ ✓ Windows\Logs\Application.xml 包含自定义 XML 格式的 Windows 应用程序事件日志。
仅包含过去 30 天的消息。
系统事
件日志
✓ ✓ Windows\Logs\System.xml 包含自定义 XML 格式的 Windows 系统事件日志。仅包
含过去 30 天的消息。
终端服
- LSM
操作事
件日志*
✓ ✓ Windows\Logs\LocalSessionManager-Operational.evtx 包含有关 RDP 会话信息的 Windows 事件日志。
驱动程
序安装
日志
✗ Windows\Logs\catroot2_dberr.txt 包含有关在安装驱动程序时添加到“catstore”的目录的信
息。
SetupAPI
日志*
✗ Windows\Logs\SetupAPI\setupapi*.log 设备和应用程序安装文本日志。
WMI
Activity
操作事
件日志
✓ ✓ Windows\Logs\WMI-Activity.evtx 包含 WMI Activity 跟踪数据的 Windows 事件日志。仅包
含过去 30 天的消息。
应用程
序事件
日志
✓ ✓ Windows\Logs\Application.evtx Windows 应用程序事件日志文件。仅包含过去 30 天的
消息。
系统事
件日志
✓ ✓ Windows\Logs\System.evtx Windows 系统事件日志文件。仅包含过去 30 天的消息。
服务注
册表键
内容
Windows\Services.reg 包含
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
的注册表项内容。当驱动器有问题时,收集此项可能有
帮助。
*Windows Vista 和更高版本
系统配置
项目名
收集配置文件
位置 / 文件名 说明
默认 威
驱动器信息 Windows\drives.txt
Windows\volumes.txt
收集的文本文件,包含有关磁盘驱动器和卷的
信息。
设备信息 Windows/devices/*.txt 收集的多个文本文件中包含有关设备的类和接
口信息。
网络配置 Config\network.txt 收集的文本文件,包含网络配置。(执行 的结
ipconfig /all)
ESET
SysInspector
日志
Config\SysInspector.xml XML 格式的 SysInspector 日志。
Winsock LSP
目录
Config\WinsockLSP.txt 收集 netsh winsock 显示目录命令的输出。
WFP 过滤器* Config\WFPFilters.xml 收集的 XML 格式的 WFP 过滤器配置。
5
系统配置
完整的
Windows
册表内容
Windows\Registry\* 收集的多个二进制文件,包含 Windows 注册表
数据。
临时目录中
的文件列表
Windows\TmpDirs\*.txt 收集的多个文本文件,包含系统用户临时目
录、%windir%/temp、%TEMP%%TMP% 目录
的内容。
Windows
划任务
Windows\Scheduled Tasks\*.* Windows Task Scheduler 收集的包含所有任务
的多个 xml 文件,可帮助检测将攻击 Task
Scheduler 的恶意软件。因为文件位于子文件夹
中,因此将收集整个结构。
WMI Windows\WMI Repository\*.* 收集的多个包含 WMI 数据库数据(元信息、定
义和 WMI 类的静态数据)的二进制文件。收集
这些文件可能帮助识别将 WMI 用于持续性的恶
意软件(例如 Turla)。因为 WMI 文件可能位于子
文件夹中,因此将收集整个结构。
Windows
Server 角色
和功能
Windows\server_features.txt 包含所有 Windows Server 功能树的文本文件。
每个功能包含以下信息:
已安装的状态
本地化的名称
代码名称
状态(可用在 Microsoft Windows Server 2012
及更高版本上)
*Windows 7 和更高版本
ESET 安装程序
项目名 收集配置文件 位置 / 文件名 说明
默认 威胁检测
ESET 安装程序日
ESET\Installer\*.log 安装 ESET NOD32 Antivirus ESET Smart Security 10
Premium 产品期间创建的安装日志。
ESET Remote Administrator
项目名
收集配置文件
位置 / 文件名 说明
默认
EP/ESMC/ERA
服务器日志
✗ ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip ZIP 压缩
文件中创建
服务器产品
日志。它包
含跟踪、状
态和上一个
错误日志。
EP/ESMC/ERA
服务器代理
日志
✗ ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip ZIP 压缩
文件中创建
服务器代理
产品日志。
它包含跟踪、
状态和上一
个错误日志。
EP/ESMC/ERA
进程信息和
转储
ERA\Server\Process and old
dump\RemoteAdministratorServerDiagnostic<datetime>.zip
服务器进程
转储。
6
ESET Remote Administrator
EP/ESMC/ERA
进程信息和
转储
ERA\Agent\Process and old
dump\RemoteAdministratorAgentDiagnostic<datetime>.zip
服务器代理
进程转储。
EP/ESMC/ERA
配置
ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip ZIP 压缩文件
中的服务器
配置和应用
程序信息文
件。
EP/ESMC/ERA
配置
✗ ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip ZIP 压缩文件
中的服务器
代理配置和
应用程序信
息文件。
EP/ESMC/ERA
Rogue
Detection
Sensor 日志
ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip 包含 RD
Sensor 跟踪
日志、上一
个错误日志、
状态日志、
配置、转储
和常规信息
文件的 ZIP
件。
EP/ESMC/ERA
MDMCore
ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip 包含
MDMCore
踪日志、上
一个错误日
志、状态日
志、转储和
常规信息文
件的 ZIP 文件。
EP/ESMC/ERA
代理日志
✗ ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip 包含 ERA
理跟踪日志、
上一个错误
日志、状态
日志、配置、
转储和常规
信息文件的
ZIP 文件。
EP/ESMC/ERA
服务器代理
数据库
✗ ERA\Agent\Database\data.db EP/ESMC/ERA
服务器代理
数据库文件。
Apache
Tomcat 配置
✗ ERA\Apache\Tomcat\conf\*.* Apache
Tomcat 配置
文件,它包
含不带敏感
信息的
server.xml
文件副本。
Apache
Tomcat 日志
✗ ERA\Apache\Tomcat\logs\*.log
ERA\Apache\Tomcat\EraAppData\logs\*.log
ERA\Apache\Tomcat\EraAppData\WebConsole\*.log
文本格式的
Apache
Tomcat 日志
位于 Apache
Tomcat 安装
或应用程序
目录中。它
还包含
WebConsole
日志。
7
ESET Remote Administrator
Apache HTTP
代理配置
ERA\Apache\Proxy\conf\httpd.conf Apache HTTP
代理配置文
件。
Apache HTTP
代理日志
✗ ERA\Apache\Proxy\logs\*.log 文本格式的
Apache HTTP
代理日志所
在位置。
*EP/ESMC/ERA 服务器或 EP/ESMC/ERA 服务器代理
ESET 配置
项目名
收集配置文件
位置 / 文件名 说明
默认
ESET
品配置
info.xml 详细介绍系统上安装的 ESET 产品的信息性 XML 文件。它包含基本的系统信息、安
装的产品信息和产品模块列表。
ESET
品配置
versions.csv 自版本 4.0.3.0 以来,始终包含该文件(无任何相关性)。它包含已安装的产品
信息。versions.csv 必须存在于要包含的 ESET AppData 目录中。
ESET
品配置
features_state.txt 包含有关 ESET 产品功能及其状态(活动、非活动、未集成)的信息。将始终收集
该文件,且它不与任何可选择的项目绑定。
ESET
品配置
Configuration\product_conf.xml 通过导出的产品配置创建 XML。
ESET
据和安
装目录
文件列
ESET\Config\data_dir_list.txt 创建包含 ESET AppData 目录及其全部子目录中的文件列表的文本文件。
ESET
据和安
装目录
文件列
ESET\Config\install_dir_list.txt 创建包含 ESET Install 目录及其全部子目录中的文件列表的文本文件。
ESET
动程序
ESET\Config\drivers.txt 收集有关安装的 ESET 驱动程序的信息。
ESET
人防火
墙配置
ESET\Config\EpfwUser.dat 复制包含 ESET 个人防火墙配置的文件。
ESET
册表项
内容
ESET\Config\ESET.reg 包含 HKLM\SOFTWARE\ESET 的注册表项内容
Winsock
LSP
Config/WinsockLSP.txt 收集 netsh winsock 显示目录命令的输出。
最新应
用的策
ESET\Config\lastPolicy.dat EP/ESMC/ERA 应用的策略。
ESET
ESET\Config\msi_features.txt 收集的有关可用 ESET 产品 MSI 安装程序组件的信息。
HIPS
ESET\Config\HipsRules.bin HIPS 规则数据。
已连接
的主页
配置
ESET\Config\homenet.dat 已连接的主页数据。
隔离区
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检
有关已隔离文件的信息 ESET\Quarantine\quar_info.txt 创建包含已隔离对象列表
的文本文件。
小型隔离文件 (< 250KB) ESET\Quarantine\*.*(< 250KB) 隔离文件小于 250 KB。
8
隔离区
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检
大型隔离文件 (> 250KB) ESET\Quarantine\*.*(> 250KB) 隔离文件大于 250 KB。
ESET 日志
项目名
收集配置文件
位置 / 文件名 说明
默认
ESET 事件日志 ESET\Logs\Common\warnlog.dat 二进制文件格式的 ESET
产品事件日志。
ESET 检测到的威
胁日志
ESET\Logs\Common\virlog.dat 二进制文件格式的 ESET
检测到的威胁日志。
ESET 计算机扫描
日志
ESET\Logs\Common\eScan\*.dat 二进制文件格式的 ESET
计算机扫描日志。
ESET HIPS 日志* ESET\Logs\Common\hipslog.dat 二进制文件格式的 ESET
HIPS 日志。
ESET 家长控制日志
*
ESET\Logs\Common\parentallog.dat 二进制文件格式的 ESET
家长控制日志。
ESET 设备控制日志
*
ESET\Logs\Common\devctrllog.dat 二进制文件格式的 ESET
设备控制日志。
ESET 网络摄像头
防护日志*
ESET\Logs\Common\webcamlog.dat 二进制文件格式的 ESET
网络摄像头防护日志。
ESET 银行业务和
付款保护日志
ESET\Logs\Common\bpplog.dat 二进制文件格式的 ESET
银行业务和付款保护日志。
ESET 手动服务器
数据库扫描日志
ESET\Logs\Common\ServerOnDemand\*.dat 二进制文件格式的 ESET
服务器手动日志。
ESET Hyper-V 服务
器扫描日志
ESET\Logs\Common\HyperVOnDemand\*.dat 二进制文件格式的 ESET
Hyper-V 服务器扫描日志。
MS OneDrive 扫描
日志
ESET\Logs\Common\O365OnDemand\*.dat 二进制文件格式的 MS
OneDrive 扫描日志。
ESET 阻止的文件
日志
ESET\Logs\Common\blocked.dat 二进制文件格式的 ESET
阻止的文件日志。
ESET 发送的文件
日志
ESET\Logs\Common\sent.dat 二进制文件格式的 ESET
发送的文件日志。
ESET 审核日志 ESET\Logs\Common\audit.dat 二进制文件格式的 ESET
审核日志。
*选项仅在文件存在时显示。
ESET 网络日志
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁检
ESET 网络防护日
志*
ESET\Logs\Net\epfwlog.dat 二进制文件格式的 ESET 网络
防护日志。
ESET 过滤的网站日志
*
ESET\Logs\Net\urllog.dat 二进制文件格式的 ESET 网站
过滤日志。
9
ESET 网络日志
ESET Web 控制日
志*
ESET\Logs\Net\webctllog.dat 二进制文件格式的 ESET Web
控制日志。
ESET pcap 日志 ESET\Logs\Net\EsetProxy*.pcapng 复制 ESET pcap 日志。
*选项仅在文件存在时显示。
ESET 诊断
项目名
收集配置文
位置 / 文件名 说明
默认 威胁检
本地缓存数据库 ESET\Diagnostics\local.db ESET 扫描的文件数据库。
常规产品诊断日志 ✗ ESET\Diagnostics\*.* ESET 诊断文件夹中的文件(小型转储)。
ECP 诊断日志 ESET\Diagnostics\ECP\*.xml 如果在激活产品或与激活服务器通信时出现问
题,将生成 ESET 通信协议诊断日志。
EPNS 诊断日志 ✗ ESET\Diagnostics\*.* 如果出现问题,将生成 ESET 推送通知服务诊
断日志。
更新
项目名 收集配置文件 位置 / 文件名 说明
默认 威胁检测
产品更新日志 ✓ ✓ C:\ProgramData\ESET\ESET Security\MicroPcu 通过导出的产品配置创建 XML。
ESET Secure Authentication
项目名 收集配置文件 位置 / 文件名 说明
默认 威胁检测
ESA 日志 ESA\*.log ESET Secure Authentication 导出的日志。
ESET Inspect
项目名
收集配
置文件
位置 / 文件名 说明
EI 服务器日志 ESET\Inspect Server\Logs\*.log 检查服务器产品文本日志。
EI 服务器代理日
ESET\Inspect Connector\Logs\*.log 检查连接器产品文本日志。
EI 服务器配置 ESET\Inspect Server\\eiserver.ini 包含检查服务器产品配置的 .ini
件。
EI 服务器代理配
ESET\Inspect Connector\eiconnector.ini 包含检查连接器产品配置的 .ini
件。
EI 服务器策略 ESET\Inspect Server\eiserver.policy.ini 包含检查服务器产品策略的 .ini
件。
EI 服务器代理策
ESET\Inspect Connector\eiconnector.policy.ini 包含检查连接器产品策略的 .ini
件。
EI 服务器证书 ESET\Inspect Server\Certificates\*.* 包含由检查服务器产品使用的证书
文件。因为文件位于子文件夹中,
因此将收集整个结构。
10
ESET Inspect
EI 服务器代理证
ESET\Inspect Connector\Certificates\*.* 包含由检查连接器产品使用的证书
文件。因为文件位于子文件夹中,
因此将收集整个结构。
EI 服务器转储 ESET\Inspect Server\Diagnostics\*.* 检查服务器产品转储文件。
MySQL Server
ESET\Inspect Server\My SQL\my.ini 包含由 ESET Inspect Server 产品使用
MySQL Server 配置的 .ini 文件。
MySQL Server
ESET\Inspect Server\My SQL\EEI.err ESET Inspect Server 产品使用的
MySQL Server 的错误文本日志。
ESET Full Disk Encryption
项目名 收集配置文件 位置 / 文件名 说明
默认 威胁检测
EFDE 日志 ✗ ✗ EFDE\AIS\Logs\*.*
EFDE\Core\*.log
ESET Full Disk Encryption 中导出的日志(AIS
Core)。
EFDE 许可证数据 EFDE\AIS\Licesne\*.* EFDE 的许可证数据文件。
EFDE 配置 EFDE\AIS\lastpolicy.dat 包含 EFDE 的配置。
ESET 电子邮件日志(ESET Mail Security for Exchange、ESET Mail Security for Domino)
项目名
收集配置文件
位置 / 文件名 说明
默认 威胁
检测
ESET 垃圾邮件日
✗ ESET\Logs\Email\spamlog.dat 二进制文件格式的 ESET 垃圾
邮件日志。
ESET 灰名单日志 ✗ ESET\Logs\Email\greylistlog.dat 二进制格式的 ESET 灰名单日
志。
ESET SMTP 防护日
✗ ESET\Logs\Email\smtpprot.dat 二进制文件格式的 ESET
SMTP 防护日志。
ESET 邮件服务器
防护日志
✗ ESET\Logs\Email\mailserver.dat 二进制文件格式的 ESET 邮件
服务器防护日志。
ESET 诊断电子邮
件处理日志
✗ ESET\Logs\Email\MailServer\*.dat 二进制文件格式的 ESET 诊断
电子邮件处理日志,该日志
直接从磁盘复制。
ESET 垃圾邮件日志
*
✗ ESET\Logs\Email\spamlog.dat 二进制文件格式的 ESET 垃圾
邮件日志。
ESET 反垃圾邮件
配置和诊断日志
✗ ESET\Logs\Email\Antispam\antispam.*.log
ESET\Config\Antispam\*.*
复制 ESET 反垃圾邮件配置和
诊断日志。
*选项仅在文件存在时显示。
ESET SharePoint 日志 (ESET Security for SharePoint)
项目名 收集配置文件 位置 / 文件名 说明
默认 威胁检测
ESET SHPIO.log ESET\Log\ESHP\SHPIO.log SHPIO.exe 实用程序中的 ESET 诊断日志。
特定于产品的日志 - 特定产品有多种选择。
11
Domino (ESET Mail Security for Domino)
项目名
收集配
置文件
位置 / 文件名 说明
Domino
IBM_TECHNICAL_SUPPORT
+ notes.ini
✗ LotusDomino\Log\notes.ini IBM Domino 配置文
件。
Domino
IBM_TECHNICAL_SUPPORT
+ notes.ini
LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.* IBM Domino 日志,
时间不超过 30 天。
MS SharePoint (ESET Security for SharePoint)
项目名
收集
配置
文件
位置 / 文件名 说明
MS
SharePoint
日志
✗ SharePoint\Logs\*.log MS SharePoint 日志,时间不超过 30 天。
SharePoint
注册表项内
SharePoint\WebServerExt.reg 包含 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
Tools\Web Server Extensions 的注册表项内容。仅在安装
ESET Security for SharePoint 时可用。
MS Exchange (ESET Mail Security for Exchange)
项目名
收集配置文
位置 / 文件名 说明
默认 威胁检
MS Exchange 传输服务器
代理注册
Exchange\agents.config MS Exchange 传输服务器代理注册 config file
适用于 Microsoft Exchange Server 2007 及更
高版本。
MS Exchange 传输服务器
代理注册
Exchange\sinks_list.txt MS Exchange 事件接收注册转储。适用于
Microsoft Exchange Server 2000 和 2003。
MS Exchange EWS 日志 Exchange\EWS\*.log 收集 EWS Exchange Server 日志。
ESET Log Collector 命令行
命令行界面是一项支持在没有 GUI 的情况下使用 ESET Log Collector 的功能。例如,在安装 Server Core
Nano Server 时,也比如需要或仅是想使用命令行,而非 GUI 时。额外还有一个命令行,仅供将 ESET 二进
制日志文件转换为 XML 格式或文本文件。
命令行帮助 - 运行 start /wait ESETLogCollector.exe /?,显示语法帮助。它还列出了可以收集的
可用目标(项目)。列表内容取决于安装在运行 ESET Log Collector 的系统上已检测到的 ESET 安全产品类型。
仅相关项目才可用。
12
我们建议在执行任何命令时使用 start/wait 前缀,因为 ESET Log Collector 基本上是一个 GUI 工具,
Windows 命令行解释器 (shell) 不会等到可执行文件终止就会立即返回,并显示新提示。使用
start /wait 前缀时,使 Windows shell 等到 ESET Log Collector 终止。
如果您是首次运行 ESET Log Collector,ESET Log Collector 会要求您接受最终用户许可协议 (EULA)。要接受
EULA,请使用 /accepteula 参数运行第一个命令。任何后续命令的运行无需 /accepteula 参数。如果
选择不接受最终用户许可协议 (EULA) 中的条款并且不使用 /accepteula 参数,系统将不会执行您的命令。
此外,/accepteula 参数必须指定为第一个参数,例如:start /wait ESETLogCollector.exe
/accepteula /age:90 /otype:fbin /targets:prodcnf,qinfo,warn,threat,ondem
collected_eset_logs.zip
用法:
[start /wait] ESETLogCollector.exe [options] <out_zip_file> - 根据指定选项收集日志,并
创建 ZIP 格式的输出压缩文件。
[start /wait] ESETLogCollector.exe /Bin2XML [/All] [/UTC] <eset_binary_log>
<output_xml_file> - 将收集的 ESET 二进制日志文件 (.dat) 转换为 XML 文件。
[start /wait] ESETLogCollector.exe /Bin2Txt [/All] [/UTC] <eset_binary_log>
<output_txt_file> - 将收集的 ESET 二进制日志文件 (.dat) 转换为文本文件。
选项:
/Age:<days> - 收集的日志记录的最长保留时间(以天为单位)。值范围在 0 到 999 之间,0 表示无
限期,默认值是 30。
/OType:<xml|fbin|obin> - ESET 日志的收集格式:
xml - 过滤的 XML
fbin - 过滤的二进制文件(默认值)
obin - 磁盘中的原始二进制文件
/All - 还要转换标记为“已删除”的记录。此参数仅当将收集的 ESET 二进制日志文件转换为 XML TXT
时才适用。
/UTC - 将日志记录的时间格式从本地时间转换为 UTC 格式。
/Targets:<id1>[,<id2>...] - 要收集的项目的列表。如果未指定,将收集默认集。特殊值“全部”表
示所有目标。
/NoTargets:<id1>[,<id2>...] - 要跳过的项目的列表。此列表在“目标”列表后应用。
/Profile:<default|threat|all> - 收集配置文件是已定义的目标集:
Default - 用于一般支持案例的配置文件
Threat - 与威胁检测案例相关的配置文件
All - 选择所有可用目标
13
选择过滤的 XML 或过滤的二进制文件收集格式时,“过滤”表示仅收集过去几天的记录(由
/Age:<days> 参数指定)。如果选择磁盘中的原始二进制文件,所有 ESET 日志都将忽略
/Age:<days> 参数。对于其他日志(例如 Windows 事件日志、Microsoft SharePoint 日志或 IBM
Domino 日志),将应用 /Age:<days> 参数,以便将非 ESET 日志记录限制在指定天数内,并无限
期收集(复制)原始 ESET 二进制文件。
参数 /All 支持转换所有日志记录,包括已通过主程序窗口删除但存在于标记为“已删除”的原始
二进制文件中的记录(日志记录在主程序窗口中不可见)。
14
15
此示例命令将语言更改为意大利语。可以使用任意可用语言:ARE, BGR, CSY, DAN, DEU, ELL,
ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD,
NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR
/lang: ITA
此示例命令在“过滤的二进制文件”收集模式下收集 ESET 产品配置、关于已隔离文件的信息、ESET 事件日志、ESET 检测到的威胁日志和 ESET 计算机
扫描日志,还收集过去 90 天的记录:
start /wait ESETLogCollector.exe /age:90 /otype:fbin /targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip
此示例命令在“磁盘中的原始二进制文件”收集模式下收集运行进程、系统事件日志、ESET SysInspector 日志、ESET 产品配置、ESET 事件日志和常
规产品诊断日志:
start /wait ESETLogCollector.exe /otype:obin /targets:proc,evlogsys,sysin,prodcnf,warn,diag collected_diag_logs.zip
此示例命令在“过滤的 XML”收集模式下收集 ERA 服务器代理日志、ERA 服务器日志、ERA 配置和 ERA Rogue Detection Sensor 日志,还收集过
去 10 天的记录:
start /wait ESETLogCollector.exe /age:10 /otype:xml /targets:eraag,erasrv,eraconf,erard collected_era_logs.zip
此示例命令将收集的 ESET 二进制日志文件(计算机扫描日志)以及所有记录(包括标记为“已删除”的日志)转换为 XML 文件格式:
start /wait ESETLogCollector.exe /bin2xml /all C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.xml
类似地,收集的计算机扫描日志文件将转换为文本文件,但忽略的日志将标记为“已删除”:
start /wait ESETLogCollector.exe /bin2txt C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.txt
可用目标
这是所有潜在目标的完整列表,可以使用 /Targets: 选项指定的 ESET Log Collector 命令行收集这些目标。
可能无法看到在此列出的所有目标。这是因为适用于系统的可用目标仅在运行命令行帮助 start
/wait ESETLogCollector.exe /? 时才会列出。未列出的目标不适用于系统或配置。
Proc 运行进程(开放式句柄和已加载的 DLL)
Drives 驱动器信息
Devices 设备信息
SvcsReg 服务注册表键内容
EvLogApp 应用程序事件日志
EvLogSys 系统事件日志
SetupAPI SetupAPI 日志
EvLogLSM 终端服务 - LSM 操作事件日志
EvLogWMI WMI Activity 操作事件日志
SysIn ESET SysInspector 日志
DrvLog 驱动程序安装日志
NetCnf 网络配置
WFPFil WFP 过滤器
InstLog ESET 安装程序日志
EfdeLogs EFDE 日志
EfdeLic EFDE 许可证数据
EfdeCfg EFDE 配置
EraAgLogs EP/ESMC/ERA 服务器代理日志
EraSrv EP/ESMC/ERA 服务器日志
EraConf EP/ESMC/ERA 配置
EraDumps EP/ESMC/ERA 进程信息和转储
EraRD EP/ESMC/ERA Rogue Detection Sensor 日志
EraMDM EP/ESMC/ERA MDMCore 日志
EraProx EP/ESMC/ERA 代理日志
EraTomcatCfg Apache Tomcat 配置
16
EraTomcatLogs Apache Tomcat 日志
EraProxyCfg Apache HTTP 代理配置
EraProxyLogs Apache HTTP 代理日志
EsaLogs ESET Secure Authentication 日志
ProdCnf ESET 产品配置
DirList ESET 数据和安装目录文件列表
Drivers ESET 驱动程序
EsetReg ESET 注册表项内容
EsetCmpts ESET 组件
QInfo 有关已隔离文件的信息
QFiles 隔离的文件
QSmallFiles 小型隔离文件
QBigFiles 大型隔离文件
Warn ESET 事件日志
Threat ESET 检测到的威胁日志
OnDem ESET 计算机扫描日志
Hips ESET HIPS 日志
Fw ESET 网络防护日志
FwCnf ESET 个人防火墙配置
Web ESET 过滤的网站日志
Paren ESET 家长控制日志
Dev ESET 设备控制日志
WCam ESET 网络摄像头防护日志
WebCtl ESET Web 控制日志
OnDemDB ESET 手动服务器数据库扫描日志
HyperV ESET Hyper-V 服务器扫描日志
Spam ESET 垃圾邮件日志
Grey ESET 灰名单日志
SMTPProt ESET SMTP 防护日志
Email ESET 邮件服务器防护日志
EmDiag ESET 诊断电子邮件处理日志
ScanCache 本地缓存数据库
SpamDiag ESET 反垃圾邮件配置和诊断日志
Diag 常规产品诊断日志
ECPDiag ECP 诊断日志
pcap ESET pcap 日志
XAg MS Exchange 传输服务器代理注册
XEws MS Exchange EWS 日志
Domino Domino IBM_TECHNICAL_SUPPORT 日志 + notes.ini
SHPIO ESET SHPIO.log
SP MS SharePoint 日志
SHPReg SharePoint 注册表项内容
AllReg 完整的 Windows 注册表内容
WinsockCat Winsock LSP 目录
TmpList 临时目录中的文件列表
SchedTaks Windows 计划任务
Wmirepo WMI
WinSrvFeat Windows Server 角色和功能
17
LastPol 最新应用的策略
BlkF ESET 阻止的文件日志
SentF ESET 发送的文件日志
OneDrive MS OneDrive 扫描日志
Audit ESET 审核日志
HipsCfg HIPS 配置
HomeNetCfg 已连接的主页配置
EeiSLogs EI 服务器日志
EeiSCfg EI 服务器配置
EeiSPol EI 服务器策略
EeiSCerts EI 服务器证书
EeiSDumps EI 服务器转储
EeiMySqlCfg MySQL Server 配置
EeiMySqlLogs MySQL Server 日志
最终用户许可协议
重要说明:在下载、安装、复制或使用前,请仔细阅读产品应用程序的以下条款。下载、安装、复制或使
用软件,表示您同意这些条款
最终用户许可协议
本最终用户使用许可协议(以下简称“协议”)由 ESET, spol. s r. o..(以下简称“ESET”或“提供商”)与作为自
然人或法人的您(以下简称“您”或“最终用户”)签订。ESET 位于 Einsteinova 24, 851 01 Bratislava, Slovak
Republic,注册地为布拉迪斯拉发第一地区法院商业注册处,企业性质为股份有限公司,注册号 3586/B,BIN
31333532。协议授权您使用此处条款 1 中定义的软件。此处条款 1 中定义的软件可能存储在数据承载工
具上、通过电子邮件发送、从 Internet 下载、从提供商的服务器下载或者按照以下指定的条款从其他来源
获得。
这不是购买合同,而是关于最终用户权利的协议。无论是此软件的副本,还是经过商业包装的包含此软件
的物理介质,亦或根据本协议最终用户有权使用的任何其他副本,所有权均归提供商所有。
在安装、下载、复制或使用软件过程中单击“我接受”或“我接受…”,即表示您同意本协议的条款和条
件。如果您不同意本协议的任意条款和条件,请立刻单击取消选项,取消安装或下载,销毁或将本软件、
安装介质、随附文档和购买发票返还至 ESET 或您购买软件的地方。
您同意使用软件表示您已经阅读本协议,您理解并同意遵守本协议的条款。
1.软件。本协议中的“软件”是指: (i) 本协议附带的计算机程序及其所有组成部分;(ii) 磁盘、CD-ROM、DVD、
电子邮件及任何附件或附带本协议提供的其他介质的所有内容,包括数据承载工具提供、通过电子邮件提
供或通过 Internet 下载的对象代码形式的软件;(iii) 任何有关本软件的书面说明材料和任何其他相关文档,
包括但不限于所有软件说明、软件规格、软件特点或操作说明、使用软件的操作环境的说明、使用或安装
软件的说明,或任何关于如何使用软件的说明(以下称“文档”);(iv) 软件的副本、软件错误的修复程序、软
件的附加程序、软件的扩展、软件的修改版本及软件组件更新(如果有),关于这一点,提供商根据本协议
第 3 条授予您许可。软件将仅以可执行目标代码的形式提供。
2.安装、计算机和许可证密钥。数据承载工具上提供、通过电子邮件发送、从 Internet 下载、从提供商服
务器下载或从其他来源获得的软件需要安装。文档中指定了安装方式。任何可能对本软件有不利影响的计
算机程序或硬件都不能安装在安装本软件的计算机上。计算机是指硬件,包括但不限于个人计算机、笔记
本电脑、工作站、掌上电脑、智能电话、手持电子设备或本软件针对其而设计并将于其上安装和/或使用
的其他电子设备。任何可能对本软件有不利影响的计算机程序或硬件都不能安装在安装本软件的计算机上。
计算机是指硬件,包括但不限于个人计算机、笔记本电脑、工作站、掌上电脑、智能电话、手持电子设备
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17
  • Page 18 18
  • Page 19 19
  • Page 20 20
  • Page 21 21
  • Page 22 22
  • Page 23 23

ESET Log Collector 4.8 取扱説明書

タイプ
取扱説明書