版權 ©2023 由 ESET, spol. s r.o. 所有
ESET Log Collector 由 ESET, spol. s r.o. 所開發
如需詳細資訊,請造訪 https://www.eset.com。
保留所有權利。本文件的任何部分在未獲得作者的書面同意下,不得以任何形式或利用任何方式進行重製、
儲存在可擷取的系統或進行傳輸,包括電子、機械、影印、錄音或掃描等方式。
ESET, spol. s r.o. 保留變更所述應用程式軟體的權利,恕不另行通知。
技術支援:https://support.eset.com
修訂。2023年m月21日
1 簡介 1 ..................................................................................................................................................
2 ESET Log Collector 使用者介面 1 ..........................................................................................................
2.1 成品 / 收集的檔案的清單 3 ................................................................................................................
3 ESET Log Collector 命令列 14 ...............................................................................................................
3.1 可用目標 17 ...................................................................................................................................
4 使用者授權合約 19 ...............................................................................................................................
1
簡介
ESET Log Collector 應用程式的用途在於收集特定資料 (例如機器中感興趣的配置和防護記錄),以協助在解
析支援案例期間從客戶的機器收集資訊。您可以使用預先定義的成品清單 (或選取收集設定檔) 指定要收
集的資訊、收集的防護記錄的天數上限、收集的 ESET 防護記錄的格式,以及包含所有已收集檔案和資訊之
輸出 ZIP 檔案的名稱。如果您在未安裝 ESET 安全性產品的機器上執行 ESET Log Collector,則僅能收集
Windows 事件記錄檔和執行中的處理程序傾印。
ESET Log Collector 與您的 ESET 安全性產品具有相同的系統要求。ESET Log Collector 可在任何版本的
Microsoft Windows 作業系統上執行。
ESET Log Collector 會自動從您的系統中收集選取的資訊,以便協助更快地解決問題。當您使用 ESET 技術支
援開啟個案時,可能會要求您提供電腦中的防護記錄。ESET Log Collector 將讓您輕鬆收集所需的資訊。
ESET Log Collector 在單一可執行檔中包含所有語言。這可讓您在啟動時來切換語言,而無需下載正確的當
地語系化版本。可以自動地偵測要使用的語言,或是明確地選取語言。有兩種方法可以明確地指定語言:
1.使用命令列切換 /lang:<language_code>
2.將檔案重新命名為
ESETLogCollector_<language_code>.exe
語言代碼的可用值: ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC,
HUN, CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE,
THA, TRK, UKR
ESET Log Collector 散佈為 32 位元的應用程式。為了確保可在 64 位元系統上完整運作,它包含作為
資源内嵌的 64 位元 ESET Log Collector 可執行檔,而此檔案會解壓縮至 Temp 目錄,並在偵測到 64
位元系統時執行。
您可在兩種模式下使用 ESET Log Collector:
• 圖形使用者介面 (GUI)
• 命令列介面 (CLI) (從 1.8 版開始)。未指定命令列參數時,ESET Log Collector 將在 GUI 模式下啟動。
使用 GUI 操作 ESET Log Collector 時,系統會將 ESET 產品的防護記錄收集為 [原始二進位檔] 或 [已過濾的
二進位檔] (預設為已過濾的二進位檔)。若為已過濾的二進位檔,則您可以選取已匯出記錄的天數上限。
已匯出記錄的數目上限為每個防護記錄檔案 1 百萬個。
ESET Log Collector 的其他功能是將收集的 ESET 二進位防護記錄檔案 (.dat) 轉換為 XML 或文字檔案格
式。不過,您僅能使用 ESET Log Collector 命令列介面 (CLI) 來轉換收集的 ESET 二進位防護記錄。
ESET Log Collector 使用者介面
從 ESET 網站下載 ESET Log Collector 之後,請啟動 ESET Log Collector。一旦您接受使用者授權合約
(EULA),ESET Log Collector 即會開啟。如果您選擇不接受使用者授權合約 (EULA) 中的條款,請按一下 [取
消],而 ESET Log Collector 將不會開啟。
2
您可以選擇 [收集設定檔],或選擇您自己的成品。收集設定檔是已定義的一組成品:
• 預設值 - 已選取多數成品的預設設定檔。它用於一般支援案例。(如需已選取成品的詳細清單,請
參閱成品清單一節)。
• 威脅偵測 - 與許多成品中的預設設定檔重疊。仍與預設設定檔相反,威脅偵測設定檔著重於收集
可協助解析與惡意軟體偵測相關之支援案例的成品。(如需已選取成品的詳細清單,請參閱成品清單
一節)。(如需已選取成品的詳細清單,請參閱成品清單一節)。
• 全部 - 選取所有可用的成品。
• 無 - 取消選取所有成品,並可讓您對想要收集的防護記錄選取適當的核取方塊。
• 自訂 - 當您對先前選擇的設定檔進行變更,且所選取成品的目前組合並不符上述的任何設定檔時,
則系統會自動切換為此收集設定檔。
可以收集的已顯示成品的清單取決於偵測到的 ESET 安全性產品 (已安裝在您的系統上) 類型、系統
配置,以及其他軟體,如 Microsoft Server 應用程式。僅相關成品可供使用。
3
選取 [防護記錄保留限制 [天數]] 和 ESET 防護記錄收集模式 (預設選項為 [已過濾的二進位檔])。
ESET 防護記錄收集模式:
• 已過濾的二進位檔 - 記錄會依 [防護記錄保留限制 [天數]] 指定的天數進行過濾,這表示僅會收
集過去幾天的記錄。
• 磁碟原始的二進位檔 - 複製 ESET 二進位防護記錄檔案,並忽略 ESET 防護記錄的 [防護記錄保留限
制 [天數]] 值,以便無視存留期而收集所有記錄。不過,存留期仍適用於非 ESET 防護記錄,如
Windows 事件防護記錄、Microsoft SharePoint 記錄或 Domino 記錄。
您可以指定要儲存壓縮檔的位置,然後按一下 [儲存]。壓縮檔名稱已預先定義。按一下 [收集]。您可以
在處理期間隨時按下相同按鈕來中斷應用程式的作業,而按鈕的標題會在處理期間變更為 [取消]。成功
或失敗由通知訊息指示。如果失敗,則防護記錄面板會包含其他錯誤資訊。
透過密碼保護壓縮檔 - 使用核取方塊以啟動密碼防護,例如,當 Gmail 封鎖傳送包含已收集防護記錄的壓
縮檔時。傳送受密碼保護的 ZIP 檔案可防止 Gmail 的干擾。
如果您的機器上沒有 ESET SysInspector,而且您按一下 [收集],系統將詢問您是否要下載 ESET SysInspector。
如果您不想收集 ESET SysInspector 防護記錄,請使用核取方塊將其取消選取。
收集期間,您可以檢視底部的作業防護記錄視窗來查看目前進行中的作業。收集完成時將顯示所有已收集
和已壓縮的檔案。這表示已收集成功,且壓縮檔 (例如,emsx_logs.zip、ees_logs.zip 或 eea_logs.zip) 已儲存
在指定的位置中。(如需詳細資訊,請參閱成品清單一節)。
成品 / 收集的檔案的清單
本節說明在產生的 .
zip
檔案中包含的檔案。說明會根據資訊類型 (檔案和成品) 分為數個小節。
位置 / 檔案名稱 說明
metadata.txt 包含 .zip 壓縮檔的建立日期、ESET Log Collector 版本、ESET 產品版本,以及基本授權資訊。
collector_log.txt 來自 GUI 的防護記錄檔案副本,包含直到建立 .zip 檔案時的資料。
Windows 處理程序
成品名稱
收集設定檔
位置 / 檔案名稱 說明
預設值 威脅
偵測
執行中的處理
程序
(開啟控點和
載入的 DLL)
✓ ✓ Windows\Processes\Processes.txt 文字檔,包含機器上執行中處理程序
的清單。對於每個處理程序,系統會
列印下列項目:
• PID
• 上層 PID
• 執行緒數目
• 依類型分組之開啟控點的數目
• 載入的模組
• 執行時所使用的使用者帳戶
• 記憶體使用量
• 開始的時間郵戳
• 核心和使用者時間
• I/O 統計
• 命令列
4
Windows 處理程序
執行中的處理
程序
(開啟控點和
載入的 DLL)
✓ ✓ Windows\ProcessesTree.txt 文字檔,包含機器上執行中處理程序
的樹狀目錄。對於每個處理程序,系
統會列印下列項目:
• PID
• 執行時所使用的使用者帳戶
• 開始的時間郵戳
• 命令列
Windows 記錄
成品名
稱
收集設定檔
位置 / 檔案名稱 說明
預設值
威
脅
偵
測
應用程
式事件
防護記
錄
✓ ✓ Windows\Logs\Application.xml Windows 應用程式事件防護記錄 (自訂
XML 格式)。僅包括最近 30 天的訊息。
系統事
件防護
記錄
✓ ✓ Windows\Logs\System.xml Windows 系統事件防護記錄 (自訂
XML 格式)。僅包括最近 30 天的訊息。
安全性
事件防
護記錄
✓ ✓ Windows\Logs\Security.evtx Windows 安全性事件記錄檔案。僅包括
最近 30 天的訊息。
終端機
服務 –
LSM 可
作業事
件防護
記錄*
✓ ✓ Windows\Logs\LocalSessionManager-Operational.evtx Windows 事件防護記錄,其中包含 RDP
工作階段的相關資訊。
驅動程
式安裝
防護記
錄
✓✗ Windows\Logs\catroot2_dberr.txt 包含驅動程式安裝期間已新增至
「catstore」之目錄的相關資訊。
SetupAPI
防護記錄
*
✓✗ Windows\Logs\SetupAPI\setupapi*.log 裝置和應用程式安裝文字防護記錄。
WMI 活
動作業
事件防
護記錄
✓ ✓ Windows\Logs\WMI-Activity.evtx Windows 應用程式事件防護記錄,其中
包含 WMI 活動追蹤資料。僅包括最近
30 天的訊息。
應用程
式事件
防護記
錄
✓ ✓ Windows\Logs\Application.evtx Windows 應用程式事件防護記錄檔。僅
包括最近 30 天的訊息。
系統事
件防護
記錄
✓ ✓ Windows\Logs\System.evtx Windows 系統事件防護記錄檔。僅包括
最近 30 天的訊息。
*Windows Vista 和更新版本
系統配置
成品名稱 收集設定檔 位置 / 檔案名稱 說明
預設值 威脅偵測
磁碟機資訊 ✓ ✓ Windows\drives.txt
Windows\volumes.txt
收集的文字檔,其中包含磁碟機和磁碟區的相關資訊。
5
系統配置
裝置資訊 ✓ ✓ Windows/devices/*.txt
Windows\Devices\deviceTree.json
收集的多個文字檔,其中包含裝置相關的類別和介面資
訊。
服務登錄機
碼內容
✓✗ Windows\Services.reg 包含
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
的登錄機碼內容。如果驅動程式出現問題,收集此金鑰
可能會有所幫助。
網路配置 ✓ ✓ Config\network.txt 收集的文字檔,其中包含網路配置。(執行 的結果
ipconfig /all)
Windows 更
新
✓✗ Windows Updates\WinUpdates.txt 收集的文字檔,包含 Windows 更新的相關資訊。
PowerShell
歷程
✗✓Windows\PSHistory\{profileName}\*.* 收集每個設定檔下
%appdata%\Microsoft\Windows\PowerShell\PSReadline\
中具有 PowerShell 歷程的文字檔案。收集 PS 版本 5 及
更高版本的歷程,其中 PSReadLine 應預設可用。
ESET
SysInspector
防護記錄
✓ ✓ Config\SysInspector.esil SysInspector 防護記錄:它可能包含 SysInspector XML 格式,
具體取決於所使用的 SysInspector 應用程式的版本。
Winsock LSP
目錄
✓ ✓ Config\WinsockLSP.txt 收集 netsh winsock show catalog 命令的輸出。
WFP 過濾* ✓ ✓ Config\WFPFilters.xml 收集的 WFP 過濾配置,採用 XML 格式。
完整
Windows 登
錄內容
✗✓Windows\Registry\* 已收集的多個二進位檔,其中包含 Windows 登錄資料。
暫存目錄中
的檔案清單
✓ ✓ Windows\TmpDirs\*.txt 已收集的多個文字檔,其中具有系統之使用者暫存目錄、
%windir%/temp、%TEMP% 和 %TMP% 目錄的內容。
Windows 已
排程的工作
✗✓Windows\Scheduled Tasks\*.* 已從 Windows 工作排程器收集了包含所有工作的多個
xml 檔案,以幫助偵測入侵工作排程器的惡意軟體。由
於檔案位於子資料夾中,因此將收集整個結構。
WMI 存放
庫
✗✓Windows\WMI Repository\*.* 已收集多個包含 WMI 資料庫資料 (WMI 類別的中繼資訊、
定義和靜態資料) 的二進位檔。收集這些檔案可能有助
於識別使用 WMI 持續進行的惡意軟體 (例如 Turla)。由
於 WMI 檔案可能位於子資料夾中,因此將收集整個結構。
填充碼資料
庫
✗✓Windows\Shim Databases\*.sdb 位於 %SystemRoot%\apppatch 目錄中的填充碼資料庫檔
案。
預先擷取檔
案
✗✓Windows\Prefetch files\*.sdb 位於 %SystemRoot%\Prefetch 目錄中的預先擷取檔案。
Windows 伺
服器角色與
功能
✓✗ Windows\server_features.txt 包含所有 Windows Server 功能樹狀結構的文字檔案。每
個功能均包含下列資訊:
• 安裝的狀態
• 當地語系化名稱
• 代碼名稱
• 狀態 (可用於 Microsoft Windows Server 2012 和更後版
本)
*Windows 7 和更新版本
ESET 安裝程式
成品名稱 收集設定檔 位置 / 檔案名稱 說明
預設值 威脅偵測
ESET 安裝程式防
護記錄
✓✗ ESET\Installer\*.log 安裝 ESET NOD32 Antivirus、ESET Smart Security 10
Premium 產品期間建立的安裝防護記錄。
ESET PROTECT
成品名稱
收集設定檔
位置 / 檔案名稱 說明
預設值
威
脅
偵
測
6
ESET PROTECT
ESET
PROTECT
伺服器防
護記錄
✓✗ ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip 以 ZIP 壓
縮檔建立
伺服器產
品防護記
錄。包含
追蹤、狀
態和最近
錯誤防護
記錄。
ESET
PROTECT
代理程式
防護記錄
✓✗ ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip 以 ZIP 壓
縮檔建立
代理程式
產品防護
記錄。包
含追蹤、
狀態和最
近錯誤防
護記錄。
ESET
PROTECT
程序資訊
和傾印
✗ ✗ ERA\Server\Process and old
dump\RemoteAdministratorServerDiagnostic<datetime>.zip
伺服器處
理程序傾
印。
ESET
PROTECT
程序資訊
和傾印
✗ ✗ ERA\Agent\Process and old
dump\RemoteAdministratorAgentDiagnostic<datetime>.zip
代理程式
處理程序
傾印。
ESET
PROTECT
配置
✓✗ ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip ZIP 壓縮
檔中的伺
服器配置
和應用程
式資訊檔
案。
ESET
PROTECT
配置
✓✗ ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip ZIP 壓縮
檔中的代
理程式配
置和應用
程式資訊
檔案。
ESET
PROTECT
Rogue
Detection
Sensor 防
護記錄
✓✗ ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip 包含 RD
Sensor 追
蹤防護記
錄、最近
錯誤防護
記錄、狀
態防護記
錄、配置、
傾印和一
般資訊檔
案的 ZIP。
7
ESET PROTECT
ESET
PROTECT
MDMCore
防護記錄
✓✗ ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip 包含
MDMCore
追蹤防護
記錄、最
近錯誤防
護記錄、
狀態防護
記錄、傾
印和一般
資訊檔案
的 ZIP。
ESET
PROTECT
Proxy 防
護記錄
✓✗ ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip 包含 ERA
Proxy 追
蹤防護記
錄、最近
錯誤防護
記錄、狀
態防護記
錄、配置、
傾印和一
般資訊檔
案的 ZIP。
ESET
PROTECT
代理程式
資料庫
✓✗ ERA\Agent\Database\data.db ESET
PROTECT
代理程式
資料庫檔
案。
Apache
Tomcat
配置
✓✗ ERA\Apache\Tomcat\conf\*.* Apache
Tomcat
配置檔案,
它包含
server.xml
檔案副本,
不帶有機
密資訊。
Apache
Tomcat
防護記錄
✓✗ ERA\Apache\Tomcat\logs\*.log
ERA\Apache\Tomcat\EraAppData\logs\*.log
ERA\Apache\Tomcat\EraAppData\WebConsole\*.log
文字格式
的 Apache
Tomcat
防護記錄
位於安裝
或應用程
式目錄。
它還包含
Web 主控
台防護記
錄。
Apache
HTTP
Proxy 配
置
✓✗ ERA\Apache\Proxy\conf\httpd.conf Apache
HTTP
Proxy 配
置檔案。
8
ESET PROTECT
Apache
HTTP
Proxy 防
護記錄
✓✗ ERA\Apache\Proxy\logs\*.log 文字格式
的 Apache
HTTP
Proxy 防
護記錄位
置。
*ESET PROTECT 伺服器或 ESET PROTECT 代理程式
ESET Bridge
成品名稱
收集設定檔
位置 / 檔案名稱 說明
預設值 威脅
偵測
ESET Bridge 配置 ✓✗ ESET Bridge\pkgid 配置檔案位於 ESET Bridge 安裝目錄中。
ESET Bridge 防護
記錄
✓✗ ESET Bridge\logs\*.* 防護記錄檔案位於 ESET Bridge 應用程
式資料目錄中。
ESET Bridge 傾印 ✓✗ ESET Bridge\dumps\*.* ESET Bridge 傾印檔案。
Nginx 防護記錄 ✓✗ ESET Bridge\Nginx\logs\*.log
ESET Bridge\Nginx\conf\*.*
Nginx 防護記錄檔案 (不收集
.key
與
.pfx
)。
ESET Direct Endpoint Management 外掛程式
成品名稱
收集設定檔
位置 / 檔案名稱 說明
預設值
威
脅
偵
測
eRMMI ✓✗ ERMMI\data\*.* 位於 ERMMI 目錄中的應用程式資料檔案。
用於 Connectwise
Automate 防護記錄的
端點外掛程式
✓✗ ERMMI\EEPCA\Logs\*.* 收集用於 Connectwise Automate 防護記錄的端
點外掛程式檔案。
用於 Connectwise
Automate 二進位檔的
端點外掛程式
✓✗ ERMMI\EEPCA\bin\*.* 收集用於 Connectwise Automate 二進位檔的端
點外掛程式 (
.msi
、
.exe
可執行檔除外)。
ERMMI 防護記錄 ✓✗ ERMMI\logs\*.* 收集位於 ERMMI 安裝目錄中的防護記錄檔案。
ERMMI 二進位檔 ✓✗ ERMMI\bin\*.* 收集位於 ERMMI 安裝目錄中的二進位檔 (
.msi
、
.
exe
可執行檔除外) 。
ESET 配置
成品名
稱
收集設定檔
位置 / 檔案名稱 說明
預設值
威
脅
偵
測
ESET 產
品配置
✓ ✓ info.xml 詳述系統上安裝之 ESET 產品的資訊性 XML。包含基本系統資訊、安裝的
產品資訊,以及產品模組清單。
ESET 產
品配置
✓ ✓ versions.csv 從 4.0.3.0 版本開始一直包括此檔案 (無任何相依性)。它包含已安裝
的產品資訊。versions.csv 必須存在於要包括的 ESET AppData 目錄中。
ESET 產
品配置
✓ ✓ features_state.txt 包含 ESET 產品功能及其狀態 (作用中、非作用中、未整合) 的相關資
訊。一律收集此檔案,且不會將其繫結至任何可選取的成品。
ESET 產
品配置
✓ ✓ Configuration\product_conf.xml 建立具有已匯出產品配置的 XML。
9
ESET 配置
ESET 資
料和安
裝目錄
檔案清
單
✓ ✓ ESET\Config\data_dir_list.txt 建立包含 ESET AppData 目錄及其所有子目錄中檔案清單的文字檔。
ESET 資
料和安
裝目錄
檔案清
單
✓ ✓ ESET\Config\install_dir_list.txt 建立包含 ESET Install 目錄及其所有子目錄中檔案清單的文字檔。
ESET 驅
動程式
✓ ✓ ESET\Config\drivers.txt 收集已安裝 ESET 驅動程式的相關資訊。
ESET 個
人防火
牆配置
✓ ✓ ESET\Config\EpfwUser.dat 複製具有 ESET 個人防火牆配置的檔案。
ESET 登
錄機碼
內容
✓ ✓ ESET\Config\ESET.reg 包含 HKLM\SOFTWARE\ESET 的登錄機碼內容
Winsock
LSP 目
錄
✓ ✓ Config/WinsockLSP.txt 收集 netsh winsock show catalog 命令的輸出。
上次套
用的原
則
✓ ✓ ESET\Config\lastPolicy.dat ESET PROTECT 所套用的原則。
ESET 元
件
✓ ✓ ESET\Config\msi_features.txt ESET 產品 MSI 安裝程式元件相關的收集資訊。
ESET 授
權
✓ ✓ ESET\Config\License\*.* 已安裝 ESET 產品的授權檔案。
HIPS 配
置
✓ ✓ ESET\Config\HipsRules.bin HIPS 規則資料。
網路檢
查配置
✓ ✓ ESET\Config\epfwdata.bin 網路檢查配置資料。
家用網
路配置
✓ ✓ ESET\Config\homenet.dat 家用網路資料。
隔離區
成品名稱
收集設定檔
位置 / 檔案名稱 說明
預設值 威脅
偵測
隔離檔案的相關資訊 ✓ ✓ ESET\Quarantine\quar_info.txt 建立具有隔離物件清單的文
字檔。
小型隔離檔案 (< 250 KB) ✓✗ ESET\Quarantine\*.*(< 250KB) 隔離檔案小於 250 KB。
大型隔離檔案 (> 250 KB) ✗✓ESET\Quarantine\*.*(> 250KB) 隔離檔案大於 250 KB。
可疑檔案 (使用 ESET
Inspect 防護記錄成品收
集)
✗✓Config\SysInspector.esil ESET SysInspector 認為可疑的
所有檔案。
ESET 記錄
成品名稱
收集設定檔
位置 / 檔案名稱 說明
預設值
威
脅
偵
測
ESET 事件防護
記錄
✓ ✓ ESET\Logs\Common\warnlog.dat ESET 產品事件防護記錄 (二進位格
式)。
ESET 偵測到威
脅防護記錄
✓ ✓ ESET\Logs\Common\virlog.dat ESET 偵測到威脅防護記錄 (二進位格
式)。
10
ESET 記錄
ESET 電腦掃描
防護記錄
✗✓ESET\Logs\Common\eScan\*.dat ESET 電腦掃描防護記錄 (二進位格
式)。
ESET HIPS 防護
記錄*
✓ ✓ ESET\Logs\Common\hipslog.dat ESET HIPS 防護記錄 (二進位格式)。
ESET 家長控制
防護記錄*
✓ ✓ ESET\Logs\Common\parentallog.dat ESET 家長控制防護記錄 (二進位格
式)。
ESET 裝置控制
防護記錄*
✓ ✓ ESET\Logs\Common\devctrllog.dat ESET 裝置控制防護記錄 (二進位格
式)。
ESET 網路攝影
機防護記錄*
✓ ✓ ESET\Logs\Common\webcamlog.dat ESET 網路攝影機防護記錄 (二進位格
式)。
ESET 銀行付款
防護防護記錄
✓ ✓ ESET\Logs\Common\bpplog.dat 二進位格式的 ESET 銀行付款防護防
護記錄。
ESET 封鎖的檔
案防護記錄
✓ ✓ ESET\Logs\Common\blocked.dat ESET 封鎖的檔案防護記錄 (二進位格
式)。
ESET 已傳送檔
案防護記錄
✓ ✓ ESET\Logs\Common\sent.dat ESET 已傳送檔案防護記錄 (二進位格
式)。
ESET 審查防護
記錄
✓ ✓ ESET\Logs\Common\audit.dat
ESET\Logs\Common\audit\*.*
ESET 審查防護記錄 (二進位格式)。
*僅在檔案存在時才會顯示選項。
ESET 伺服器產品線防護記錄
成品名稱
收集設定檔
位置 / 檔案名稱 說明
預設值
威
脅
偵
測
ESET 指定伺服
器資料庫掃描
防護記錄
✓ ✓ ESET\Logs\Common\ServerOnDemand\*.dat ESET 伺服器指定防護記錄
(二進位格式)。
ESET Hyper-V
伺服器掃描防
護記錄
✓ ✓ ESET\Logs\Common\HyperVOnDemand\*.dat ESET Hyper-V 伺服器掃描防
護記錄 (二進位格式)。
ESET OneDrive
掃描防護記錄
✓ ✓ ESET\Logs\Common\O365OnDemand\*.dat ESET OneDrive 掃描防護記
錄 (二進位格式)。
ESET 網路防護記錄
成品名稱
收集設定檔
位置 / 檔案名稱 說明
預設值 威脅
偵測
ESET 網路防護
記錄*
✓ ✓ ESET\Logs\Net\epfwlog.dat ESET 網路防護記錄 (二進位格式)。
ESET 過濾的網
站防護記錄*
✓ ✓ ESET\Logs\Net\urllog.dat ESET 網站過濾防護記錄 (二進位格
式)。
ESET Web 控制
防護記錄*
✓ ✓ ESET\Logs\Net\webctllog.dat ESET Web 控制防護記錄 (二進位
格式)。
ESET PCAP 防護
記錄
✓✗ ESET\Logs\Net\EsetProxy*.pcapng 複製 ESET PCAP 防護記錄。
*僅在檔案存在時才會顯示選項。
11
ESET 診斷
成品名稱
收集設定
檔位置 / 檔案名稱 說明
預設
值
威脅
偵測
本機快取資料庫 ✗✓ESET\Diagnostics\local.db ESET 掃描的檔案資料庫。
一般產品診斷防護
記錄
✓✗ ESET\Diagnostics\*.* 來自 ESET 診斷資料夾的檔案 (迷你傾印)。
ECP 診斷防護記錄 ✓✗ ESET\Diagnostics\ECP\*.* 如果啟動產品且與啟動伺服器通訊時發生問題,
即會產生 ESET 通訊協定診斷防護記錄。
EPNS 診斷防護記
錄
✓✗ ESET\Diagnostics\*.* 出現問題時,將產生 ESET 推送通知服務診斷防
護記錄。
弱點與修補程式管
理除錯防護記錄
✓✗ ESET\Diagnostics\Vapm\*.* ESET 弱點與修補程式管理診斷防護記錄檔案。
更新
成品名稱 收集設定檔 位置 / 檔案名稱 說明
預設值 威脅偵測
產品更新防護記錄 ✓✗ ESET\Update\MicroPcu\*.* ESET 產品 μ-PCU 更新檔案。
ESET Secure Authentication
成品名
稱
收集設
定檔
位置 / 檔案名稱 說明
預
設
值
威
脅
偵
測
ESA 防
護記錄
✓✗ ESA\*.log
ESA\logs\*.*
從 ESET Secure Authentication 匯出的防護記錄。
ESA 防
護記錄
✓✗ ESA\logs\elastic\*.* 其他 ESET Secure Authentication 防護記錄檔案。
ESA 同
步化代
理程式
防護記
錄
✓✗ ESA\Synchronization
Agent\*.*
從 ESET Secure Authentication 同步化代理程式匯出的防護記錄。
檔案是從版本 4.9.0.0 開始收集的。
ESET Inspect
成品名稱
收集設定
檔位置 / 檔案名稱 說明
預設
值
威脅
偵測
EI 伺服器防護記錄 ✓✗ EEI\Server\Logs\*.log 檢查伺服器產品文字防護記錄。
EI 連接器防護記錄 ✓✗ EEI\Agent\Logs\*.log
檢查連接器產品文字防護記錄。
EI 伺服器配置 ✓✗ EEI\Server\eiserver.ini 包含檢查伺服器產品配置的 .ini 檔案。
EI 連接器配置
✓✗ EEI\Agent\eiconnector.ini 包含檢查連接器產品配置的 .ini 檔案。
EI 伺服器原則 ✓✗ EEI\Server\eiserver.policy.ini 包含檢查伺服器產品原則的 .ini 檔案。
EI 連接器原則 ✓✗ EEI\Agent\eiconnector.policy.ini 包含檢查連接器產品原則的 .ini 檔案。
12
ESET Inspect
EEI 伺服器憑證 ✓✗ EEI\Server\Certificates\*.* 包含檢查伺服器產品所使用的憑證檔案。由
於檔案位於子資料夾中,因此將收集整個結
構。
EEI 連接器憑證 ✓✗ EEI\Agent\Certificates\*.* 包含檢查連接器產品所使用的憑證檔案。由
於檔案位於子資料夾中,因此將收集整個結
構。
EI 伺服器傾印 ✓✗ EEI\Server\Diagnostics\*.* 檢查伺服器產品傾印檔案。
MySQL 伺服器配置 ✓✗ EI\My SQL\my.ini 包含 ESET Inspect 伺服器產品所使用的
MySQL 伺服器配置的 .ini 檔案。
MySQL 伺服器防護
記錄
✓✗ EEI\My SQL\EEI.err ESET Inspect 伺服器產品所使用的 MySQL 伺
服器的錯誤文字防護記錄。
ESET Full Disk Encryption
成品名稱 收集設定檔 位置 / 檔案名稱 說明
預設值 威脅偵測
EFDE 防護記錄 ✓✗ EFDE\AIS\Logs\*.*
EFDE\Core\*.log
從 ESET Full Disk Encryption 中匯出的防護記
錄 (AIS 和核心)。
EFDE 授權資料 ✓✗ EFDE\AIS\Licesne\*.* EFDE 的授權資料檔案。
EFDE 配置 ✓✗ EFDE\AIS\lastpolicy.dat 內含 EFDE 的配置。
ESET 電子郵件防護記錄 (ESET Mail Security for Exchange、ESET Mail Security for Domino)
成品名
稱
收集設定檔
位置 / 檔案名稱 說明
預設值
威
脅
偵
測
ESET 垃
圾郵件
防護記
錄
✓✗ ESET\Logs\Email\spamlog.dat ESET 垃圾郵件防護記錄 (二進位格式)。
ESET 灰
名單防
護記錄
✓✗ ESET\Logs\Email\greylistlog.dat ESET 灰名單防護記錄 (二進位格式)。
ESET
SMTP 防
護記錄
✓✗ ESET\Logs\Email\smtpprot.dat ESET SMTP 防護記錄 (二進位格式)。
ESET 郵
件伺服
器防護
記錄
✓✗ ESET\Logs\Email\mailserver.dat ESET 郵件伺服器防護記錄 (二進位格
式)。
ESET 診
斷電子
郵件處
理防護
記錄
✓✗ ESET\Logs\Email\MailServer\*.dat ESET 診斷電子郵件處理防護記錄 (二進
位格式),直接複製自磁碟。
ESET 垃
圾郵件
防護記錄
*
✓✗ ESET\Logs\Email\spamlog.dat ESET 垃圾郵件防護記錄 (二進位格式)。
13
ESET 電子郵件防護記錄 (ESET Mail Security for Exchange、ESET Mail Security for Domino)
ESET 垃
圾郵件
防護設
定和診
斷防護
記錄
✓✗ ESET\Logs\Email\Antispam\antispam.*.log
ESET\Config\Antispam\*.*
複製 ESET 垃圾郵件防護配置和診斷防護
記錄。
*僅在檔案存在時才會顯示選項。
ESET SharePoint 防護記錄 (ESET Security for SharePoint)
成品名稱 收集設定檔 位置 / 檔案名稱 說明
預設值 威脅偵測
ESET SHPIO.log ✓✗ ESET\Log\ESHP\SHPIO.log 來自 SHPIO.exe 公用程式的 ESET 診斷防護記錄。
產品特定防護記錄 - 這些選項適用於特定產品。
Domino (ESET Mail Security for Domino)
成品名稱
收集
設定
檔
位置 / 檔案名稱 說明
預
設
值
威
脅
偵
測
Domino
IBM_TECHNICAL_SUPPORT
防護記錄 + notes.ini
✓✗ LotusDomino\Log\notes.ini IBM Domino 配置檔。
Domino
IBM_TECHNICAL_SUPPORT
防護記錄 + notes.ini
✓✗ LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.* IBM Domino 記錄,保留
時間不超過 30 天。
MS SharePoint (ESET Security for SharePoint)
成品名稱
收集
設定
檔
位置 / 檔案名稱 說明
預
設
值
威
脅
偵
測
MS
SharePoint
防護記錄
✓✗ SharePoint\Logs\*.log MS SharePoint 防護記錄,保留時間不超過 30 天。
SharePoint
登錄機碼內
容
✓✗ SharePoint\WebServerExt.reg 包含 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
Tools\Web Server Extensions 的登錄機碼內容。僅在已安裝
ESET Security for SharePoint 時才能使用。
MS Exchange (ESET Mail Security for Exchange)
成品名稱
收集設定檔
位置 / 檔案名稱 說明
預設
值
威脅
偵測
MS Exchange 傳輸代理程
式註冊
✓✗ Exchange\agents.config MS Exchange 傳輸代理程式註冊 config file。
適用於 Microsoft Exchange Server 2007 和更
新版本。
14
MS Exchange (ESET Mail Security for Exchange)
MS Exchange 傳輸代理程
式註冊
✓✗ Exchange\sinks_list.txt MS Exchange 事件接收器註冊傾印。適用於
Microsoft Exchange Server 2000 和 2003。
MS Exchange EWS 防護記
錄
✓✗ Exchange\EWS\*.log EWS Exchange Server 記錄的收集。
ESET Log Collector 命令列
命令列是一種可讓您不需 GUI 即可使用 ESET Log Collector 的功能。例如,安裝 Server Core 或 Nano 伺服器
時,您可能需要或只想要使用命令列而非 GUI。您也可以使用額外的僅限命令列功能,用來將 ESET 二進
位防護記錄檔案轉換為 XML 格式或文字檔。
命令列說明 - 執行 start /wait ESETLogCollector.exe /? 來顯示語法說明。它也會列出可以收集
的可用目標 (成品)。清單的內容取決於偵測到的 ESET 安全性產品類型,而此產品安裝在您執行 ESET Log
Collector 所在的系統上。僅相關成品可供使用。
我們建議您在執行任何命令時使用 start/wait 字首,因為 ESET Log Collector 主要是 GUI 工具,且
Windows 命令列解譯器 (shell) 不會等待可執行檔終止,而是立即傳回並顯示新的提示。當您使用
start /wait 字首時,Windows Shell 會等待 ESET Log Collector 的終止。
如果您是第一次執行 ESET Log Collector,ESET Log Collector 需要接受使用者授權合約 (EULA)。若要接受 EULA,
請使用 /accepteula 參數執行第一條命令。後續的命令無需使用 /accepteula 參數即會執行。如果您
選擇不接受使用者授權合約 (EULA) 中的條款且不使用 /accepteula 參數,您的命令將不會執行。
此外,必須將 /accepteula 參數指定為第一個參數,例如:
start /wait ESETLogCollector.exe /accepteula /age:90 /otype:fbin /targets:prodcnf,qi
nfo,warn,threat,ondem collected_eset_logs.zip
用法:
[start /wait] ESETLogCollector.exe [選項] <out_zip_file> - 根據指定的選項收集防護記錄,
並以 ZIP 格式建立輸出壓縮檔。
[start /wait] ESETLogCollector.exe /Bin2XML [/All] [/UTC] <eset_binary_log>
<output_xml_file> - 將收集的 ESET 二進位防護記錄檔案 (.dat) 轉換為 XML 檔案。
[start /wait] ESETLogCollector.exe /Bin2Txt [/All] [/UTC] <eset_binary_log>
<output_txt_file> - 將收集的 ESET 二進位防護記錄檔案 (.dat) 轉換為文字檔。
選項:
/Age:<days> - 已收集防護記錄的天數上限。值範圍為 0 - 999,0 代表無限,預設值為 30。
當您選擇 [已過濾的 XML] 或 [已過濾的二進位檔] 收集格式時,過滤表示只會收集過去幾天的記錄
(由 /Age:<days> 參數指定)。如果您選擇 [磁碟原始的二進位檔],則所有 ESET 防護記錄將忽略
參數 /Age:<days>。若為其他防護記錄,例如 Windows 事件記錄檔、Microsoft SharePoint 記錄或
IBM Domino 記錄,則會套用參數 /Age:<days>,以便您可以將非 ESET 防護記錄限定在指定天數内,
以及在沒有天數限制的情況下收集 (複製) 原始的 ESET 二進位檔。
/OType:<xml|fbin|obin> - ESET 防護記錄的收集格式:
15
• xml - 已過濾的 XML
• fbin - 已過濾的二進位檔 (預設)
• obin - 磁碟原始的二進位檔
/All - 也轉譯已標示為刪除的記錄。僅在將收集的 ESET 二進位防護記錄檔案轉換為 XML 或 TXT 時才適
用此參數。
參數 /All 可以啟用所有防護記錄的轉換,包括那些透過主程式視窗刪除,但出現在原始二進位檔中標示為刪
除的防護記錄 (在主程式視窗中看不到的防護記錄)。
/UTC - 將防護記錄的時間格式從當地時間轉換為 UTC 格式。
/Targets:<id1>[,<id2>...] - 要收集的成品清單。若未指定,則會收集預設值組合。特殊值「all」代表
所有目標。
/NoTargets:<id1>[,<id2>...] - 要略過的成品清單。這個清單會套用在「目標」清單之後。
/Profile:<default|threat|all> - 收集設定檔是已定義的一組目標:
• Default - 用於一般支援案例的設定檔
• Threat - 與威脅偵測案例相關的設定檔
• All - 選取所有可用目標
/ProtectArch - 透過密碼保護壓縮檔。
16
17
此範例命令將語言變更為義大利文。您可以使用任何可用的語言:
ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS, CHT,
ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK,
UKR
/lang: ITA
下列範例命令會在具有過去 90 天記錄的 [已過濾的二進位檔] 收集模式下收集 ESET 產品配置、隔離檔案的相關資訊、ESET 事件防護記錄、ESET 偵
測到的威脅防護記錄,以及 ESET 電腦掃描防護記錄:
start /wait ESETLogCollector.exe /age:90 /otype:fbin /targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip
下列範例命令會在 [磁碟原始的二進位檔] 收集模式下收集執行中的處理程序、系統事件防護記錄、ESET SysInspector 防護記錄、ESET 產品配
置、ESET 事件防護記錄,以及一般產品診斷防護記錄:
start /wait ESETLogCollector.exe /otype:obin /targets:proc,evlogsys,sysin,prodcnf,warn,diag collected_diag_logs.zip
下列範例命令會在具有過去 10 天記錄的 [已過濾的 XML] 收集模式下收集 ERA 代理程式防護記錄、ERA 伺服器防護記錄、ERA 配置,以及
ERA Rogue Detection Sensor 防護記錄:
start /wait ESETLogCollector.exe /age:10 /otype:xml /targets:eraag,erasrv,eraconf,erard collected_era_logs.zip
下列範例會將收集的 ESET 二進位防護記錄檔 (電腦掃描防護記錄) 連同所有記錄 (包括已標示為刪除的防護記錄) 轉換為 XML 檔案格式:
start /wait ESETLogCollector.exe /bin2xml /all C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.xml
同樣地,收集的電腦掃描防護記錄會轉換為文字檔,但會忽略已標示為刪除的防護記錄:
start /wait ESETLogCollector.exe /bin2txt C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.txt
可用目標
這是一份完整清單,其中列出可以使用 /Targets: 選項所指定之 ESET Log Collector命令列收集的所有可
能目標。
您可能只看到此處列出的一些目標。這是因為當您執行命令列說明時只會列出系統的可用目標
start /wait ESETLogCollector.exe /?。未列出的目標不適用於您的系統或配置。
Proc 正在執行程序 (開啟控點和載入的 DLL)
Drives 磁碟機資訊
Devices 裝置資訊
SvcsReg 服務登錄機碼內容
EvLogApp 應用程式事件防護記錄
EvLogSys 系統事件防護記錄
EvLogSec 安全性事件防護記錄
SetupAPI SetupAPI 防護記錄
EvLogLSM 終端機服務 – LSM 可作業事件防護記錄
EvLogWMI WMI 活動作業事件防護記錄
SysIn ESET SysInspector 防護記錄
DrvLog 驅動程式安裝防護記錄
NetCnf 網路配置
WFPFil WFP 過濾
InstLog ESET 安裝程式防護記錄
EfdeLogs EFDE 防護記錄
EfdeLic EFDE 授權資料
EfdeCfg EFDE 配置
EraAgLogs ESET PROTECT 代理程式防護記錄
EraAgDb ESET PROTECT 資料庫
EraSrv ESET PROTECT 伺服器防護記錄
EraConf ESET PROTECT 配置
EraDumps ESET PROTECT 程序資訊和傾印
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
-
9
-
10
-
11
-
12
-
13
-
14
-
15
-
16
-
17
-
18
-
19
-
20
-
21
-
22
-
23
-
24
-
25
-
26
