如何收集 VMware Carbon Black Cloud Endpoint 传感器的日志
Summary: 您可以按照以下说明收集 VMware Carbon Black Cloud Endpoint 的日志。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
本文介绍收集 VMware Carbon Black Cloud Endpoint 传感器日志的方法。
受影响的产品:
VMware Carbon Black Cloud Endpoint
受影响的版本:
v3.3.0 及更高版本 (Windows)
v3.1.0 及更高版本 (Mac)
v2.5.0 及更高版本 (Linux)
受影响的操作系统:
Windows
Mac
Linux
Cause
不适用。
Resolution
提醒:有关如何获取 HAR 文件以对 VMware Carbon Black Cloud 进行故障处理的信息,请参阅如何获取 VMware Carbon Black Cloud 的 HAR 文件(英文版)。
请单击相应的操作系统,以了解日志收集过程。
请单击相应的客户端版本,以了解特定的安装步骤。有关详细信息,请参阅如何确定 VMware Carbon Black Cloud Endpoint 传感器版本。
提醒:有关如何使用 Live Response 收集 Windows 日志的信息,请参阅如何使用 Live Response 收集 VMware Carbon Black Endpoint 传感器日志。
要收集日志:
- 登录到受影响的端点。
- 右键单击Windows开始菜单,然后选择Run(运行)。
- 在“运行”UI 中,键入
cmd,然后按 CTRL+SHIFT+ENTER。这将以管理员身份运行命令提示符。
- 在命令提示符处,键入
CD [DIRECTORY],然后按 Enter 键。
提醒:
[DIRECTORY]= VMware Carbon Black Cloud Endpoint 传感器的目录。- 默认安装
[DIRECTORY]为C:\Program Files\Confer。
- 键入
repcli capture [DESTINATION DIRECTORY],然后按 Enter。
提醒:
[DESTINATION DIRECTORY] = 日志捆绑包的目标位置。
- 在 Windows 资源管理器中,转至步骤 5 中使用的
[DESTINATION DIRECTORY]。 - 右键单击
psc_sensor.zip,然后单击重命名。
- 将
psc_sensor.zip重命名为[MACHINENAME]_psc_sensor.zip。
提醒:
[MACHINENAME] = 端点的完全限定域名。
要收集日志:
- 登录到受影响的端点。
- 右键单击Windows开始菜单,然后选择Run(运行)。
- 在“运行”UI 中,键入
cmd,然后按 CTRL+SHIFT+ENTER。这将以管理员身份运行命令提示符。
- 在命令提示符处,键入
CD [DIRECTORY],然后按 Enter 键。
提醒:
[DIRECTORY]= VMware Carbon Black Cloud Endpoint 传感器的目录。- 默认安装
[DIRECTORY]为C:\Program Files\Confer。
- 键入
repcli capture,然后按 Enter。
- 在 Windows 资源管理器中,转至
C:\Windows\TEMP\confer-temp。 - 如果系统提示需要文件夹访问权限,请单击继续。否则,请继续执行步骤 8。
- 右键单击
confer_dump.zip,然后单击重命名。
- 将
confer_dump.zip重命名为[MACHINENAME]_confer_dump.zip。
提醒:
[MACHINENAME] = 端点的完全限定域名。
请单击相应的客户端版本,以了解特定的安装步骤。有关详细信息,请参阅如何确定 VMware Carbon Black Cloud Endpoint 传感器版本。
要收集日志:
- 登录到受影响的端点。
- 在Apple菜单中,单击Go(转至),然后选择Utilities(实用程序)。
- 双击 Terminal。
- 在终端中,键入
type sudo /Applications/VMware\ Carbon\ Black\ Cloud/repcli.bundle/Contents/MacOS/repcli capture [UNINSTALL_CODE] [DESTINATION DIRECTORY],然后按 Enter。
提醒:
[UNINSTALL_CODE]= VMware Carbon Black Cloud Endpoint 的删除代码。有关更多信息,请参阅如何管理 VMware Carbon Black Cloud Endpoint 卸载代码。[DESTINATION DIRECTORY]= 日志捆绑包的目标位置。
- 填充sudo的密码,然后按Enter键。
- 转至
[DESTINATION DIRECTORY],右键单击confer.zip,然后选择重命名。 - 将
confer.zip重命名为[MACHINENAME]_confer_dump.zip。
提醒:
[MACHINENAME] = 端点的完全限定域名。
要收集日志:
- 登录到受影响的端点。
- 在Apple菜单中,单击Go(转至),然后选择Utilities(实用程序)。
- 双击 Terminal。
- 在终端中,键入
sudo /Applications/Confer.app/uninstall -l [UNINSTALL_CODE] -d [DESTINATION DIRECTORY],然后按 Enter。
提醒:
[UNINSTALL_CODE]= VMware Carbon Black Cloud Endpoint 的删除代码。有关更多信息,请参阅如何管理 VMware Carbon Black Cloud Endpoint 卸载代码。[DESTINATION DIRECTORY]= 日志捆绑包的目标位置。
- 填充sudo的密码,然后按Enter键。
- 转至
[DESTINATION DIRECTORY],右键单击confer.zip,然后选择重命名。 - 将
confer.zip重命名为[MACHINENAME]_confer_dump.zip。
提醒:
[MACHINENAME] = 端点的完全限定域名。
请单击相应的客户端版本,以了解特定的安装步骤。有关详细信息,请参阅如何确定 VMware Carbon Black Cloud Endpoint 传感器版本。
要收集日志:
- 登录到受影响的端点。
- 打开终端。
提醒:对于各种 Linux 发行版本,用户界面 (UI) 布局可能会有所不同。
- 在终端中,键入
su root,然后按 Enter。 - 填写
root的密码,然后按 Enter 键。
- 键入
sudo /opt/carbonblack/psc/bin/collectdiags.sh,然后按 Enter。 - 从
/tmp检索日志。文件名采用的格式为diags_[HOSTNAME]_[EPOCH_TIME]_[RANDOM].tgz
要收集日志:
- 登录到受影响的端点。
- 打开终端。
提醒:对于各种 Linux 发行版本,用户界面 (UI) 布局可能会有所不同。
- 在终端中,键入
su root,然后按 Enter。 - 填写
root的密码,然后按 Enter 键。
- 键入
sudo tar cvf $(hostname –long)_$(date +"%Y-%b-%d_%H-%M-$S")_logs.tgz /var/opt/carbonblack/psc/log,然后按 Enter。 - 从
/var/opt/carbonblack/psc/log检索日志。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Additional Information
Videos
Affected Products
VMware Carbon BlackArticle Properties
Article Number: 000125504
Article Type: Solution
Last Modified: 20 Dec 2022
Version: 19
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.