Como coletar logs do sensor do VMware Carbon Black Endpoint usando o Live Response
Yhteenveto: Os logs do sensor do VMware Carbon Black Endpoint podem ser coletados remotamente com o Live Response, seguindo estas instruções.
Oireet
Como coletar registros do VMware Carbon Black Endpoint e do Carbon Black Defense remotamente usando o recurso Live Response no VMware Carbon Black Cloud Console.
Produtos afetados:
- VMware Carbon Black Endpoint
Versões afetadas:
- v3.4 e versões posteriores
Sistemas operacionais afetados:
- Windows
Syy
Não aplicável
Tarkkuus
O recurso Live Response do VMware Carbon Black Cloud é um método para coletar remotamente logs dos sensores dos endpoints do Microsoft Windows para fornecer suporte para solução de problemas.
Certifique-se de que a política do Live Response esteja ativada para o endpoint. A configuração padrão é Disabled.
Para coletar registros usando o Live Response, o administrador deve primeiro habilitar a política, executar o Live Response e, em seguida, fazer download dos registros. Para obter mais informações, clique na ação apropriada.
Ativar política
Para verificar se a política está ativada:
- Em um navegador da Web, acesse [REGION].conferdeploy.net.
- Américas = https://defense-prod05.conferdeploy.net/
- Europe = https://defense-eu.conferdeploy.net/
- Ásia-Pacífico = https://defense-prodnrt.conferdeploy.net/
- Austrália e Nova Zelândia: https://defense-prodsyd.conferdeploy.net
- Faça login no VMware Carbon Black Cloud.
- No painel do menu esquerdo, clique em Enforce.
- Clique em Policies.
- Selecione uma política.
- Clique na guia Sensor e verifique se a opção Enable Live Response está selecionada.
Executar o Live Response
A execução do Live Response difere de acordo com a versão do sensor do VMware Carbon Black Cloud Endpoint. Clique na versão adequada para obter mais informações.
Para usar o Live Response com a versão 3.6 e posterior:
- No painel do menu esquerdo, clique em Endpoints.
- Na interface do usuário (IU) de All Sensors:
- Localize o Device Name apropriado.
- Clique na caixa suspensa em Actions.
- Clique em Live Response.
- Depois que o Live Response se conectar, digite
cd c:\program files\confere pressione Enter.
- Digite
execfg cmd /c repcli capture “[PATH]”e pressione Enter. Isso executa utilitário RepCLI para capturar o log.
[PATH] = O caminho absoluto da pasta de destino do log
Depois que a captura for concluída, um prompt indica que os registros capturados são colocados na pasta de destino especificada com um nome de arquivo de psc_sensor.zip
Para usar o Live Response com a versão 3.4 a 3.5:
- No painel do menu esquerdo, clique em Endpoints.
- Na interface do usuário (UI) All Esensors:
- Localize o Device Name apropriado.
- Clique na caixa suspensa em Actions.
- Clique em Live Response.
- Depois que o Live Response se conectar, digite
cd c:\program files\confere pressione Enter.
- Digite
execfg repcli capturee pressione Enter. Isso executa utilitário RepCLI para capturar o log.
Quando a captura estiver concluída, um prompt indica que os registros capturados são colocados no C:\Windows\Temp\cb-temp com um nome de arquivo de psc_sensor.zip
Download Logs
Para fazer download dos logs:
- Digite
cd C:\Windows\Temp\cb-tempe pressione Enter.
confer.log for necessário, ele poderá ser coletado diretamente acessando C:\Program Files\Confer, digitando get confer.log e pressionando Enter.
- Digite
get psc_sensor.zipe pressione Enter.
- O arquivo é baixado em seu computador local com um nome de arquivo alfanumérico. Renomeie o arquivo para adicionar uma extensão .zip.
- Exemplo de nome de arquivo alfanumérico:
36355d97-18f4-416e-be8f-473bda7c30fb. - Exemplo de nome de arquivo renomeado:
SensorCapture.zip.
Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.