如何使用实时响应功能收集 VMware Carbon Black Endpoint 传感器日志
Summary: 可以按照这些说明使用实时响应功能远程收集 VMware Carbon Black Endpoint 传感器日志。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
如何使用 VMware Carbon Black Cloud Console 中的 Live Response 功能远程收集 VMware Carbon Black Endpoint 和 Carbon Black Defense 日志。
受影响的产品:
- VMware Carbon Black Endpoint
受影响的版本:
- v3.4 及更高版本
受影响的操作系统:
- Windows
Cause
不适用
Resolution
VMware Carbon Black Cloud 的实时响应功能是一种从 Microsoft Windows 端点远程收集传感器日志的方法,可为故障处理提供支持。
确保为端点启用实时响应策略。默认设置为已禁用。
要使用 Live Response 收集日志,管理员必须先 启用策略、 运行实时响应,然后 再下载日志。单击相应的操作以了解更多信息。
提醒:本文重点介绍如何使用实时响应功能收集日志。有关如何为所有操作系统手动收集日志的更多信息,请参阅如何收集 VMware Carbon Black Cloud Endpoint 传感器的日志(英文版)。
启用策略
要验证策略是否已启用,请执行以下操作:
- 在网页浏览器中,转至 [REGION].conferdeploy.net。
提醒:[REGION] = 租户的区域
- 美洲 = https://defense-prod05.conferdeploy.net/
- 欧洲 = https://defense-eu.conferdeploy.net/
- 亚太地区 = https://defense-prodnrt.conferdeploy.net/
- 澳大利亚和新西兰 = https://defense-prodsyd.conferdeploy.net
- 登录到 VMware Carbon Black Cloud。
- 在左侧菜单窗格中,单击 Enforce。
- 单击 Policies。
- 选择某个策略。
- 单击 Sensor 选项卡,并验证 Enable Live Response 是否已选中。
运行实时响应
运行实时响应功能的效果会因 VMware Carbon Black Cloud Endpoint Sensor 的版本而异。单击相应的版本以了解更多信息。
提醒:有关确定版本的更多信息,请参阅如何确定 VMware Carbon Black Cloud Endpoint Sensor 的版本(英文版)。
要将 Live Response 与版本 3.6 及更高版本配合使用,请执行以下操作:
- 在左侧菜单窗格中,单击 Endpoints。
- 在“All Sensors”用户界面 (UI) 中:
- 找到相应的设备名称。
- 单击 Actions 下的下拉框。
- 单击 Live Response。
- Live Response 功能连接后,键入
cd c:\program files\confer,然后按 Enter 键。
- 键入
execfg cmd /c repcli capture “[PATH]”,然后按 Enter 键。这将运行 RepCLI 实用程序以捕获日志记录。
提醒:
[PATH] = 日志目标文件夹的绝对路径
捕获完成后,提示符指示捕获的日志被放置在具有文件名的指定目标文件夹中 psc_sensor.zip
提醒:这可能需要几分钟时间,具体取决于捕获日志的端点和接收文件的设备的网络带宽。
要将 Live Response 与版本 3.4 到 3.5 配合使用,请执行以下操作:
- 在左侧菜单窗格中,单击 Endpoints。
- 在 All Esensors 用户界面 (UI) 中:
- 找到相应的设备名称。
- 单击 Actions 下的下拉框。
- 单击 Live Response。
- Live Response 功能连接后,键入
cd c:\program files\confer,然后按 Enter 键。
- 键入
execfg repcli capture,然后按 Enter 键。这将运行 RepCLI 实用程序以捕获日志记录。
捕获完成后,会出现提示,指示捕获的日志被放置在 C:\Windows\Temp\cb-temp 中,文件名为 psc_sensor.zip
提醒:这可能需要几分钟时间,具体取决于捕获日志的端点和接收文件的设备的网络带宽。
下载日志
要下载日志,请执行以下操作:
- 键入
cd C:\Windows\Temp\cb-temp,然后按 Enter 键。
提醒:如果仅需要
confer.log,则可以通过浏览至 C:\Program Files\Confer、键入 get confer.log,然后按 Enter 键进行直接收集。
- 键入
get psc_sensor.zip,然后按 Enter 键。
- 文件将下载到您的本地计算机,并使用字母数字文件名。将文件重命名以添加 .zip 扩展名。
提醒:
- 字母数字文件名示例:
36355d97-18f4-416e-be8f-473bda7c30fb。 - 重命名的文件名示例:
SensorCapture.zip。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Additional Information
Videos
Affected Products
VMware Carbon BlackArticle Properties
Article Number: 000175263
Article Type: Solution
Last Modified: 03 Feb 2023
Version: 18
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.