Treceți la conținutul principal

如何收集 VMware Carbon Black Cloud Endpoint 传感器的日志

Summary: 您可以按照以下说明收集 VMware Carbon Black Cloud Endpoint 的日志。

Acest articol se aplică pentru Acest articol nu se aplică pentru Acest articol nu este legat de un produs specific. Acest articol nu acoperă toate versiunile de produs existente.

Symptoms

本文介绍收集 VMware Carbon Black Cloud Endpoint 传感器日志的方法。


受影响的产品:

VMware Carbon Black Cloud Endpoint

受影响的版本:

v3.3.0 及更高版本 (Windows)
v3.1.0 及更高版本 (Mac)
v2.5.0 及更高版本 (Linux)

受影响的操作系统:

Windows
Mac
Linux


Cause

不适用。

Resolution

提醒:有关如何获取 HAR 文件以对 VMware Carbon Black Cloud 进行故障处理的信息,请参阅如何获取 VMware Carbon Black Cloud 的 HAR 文件(英文版)。

请单击相应的操作系统,以了解日志收集过程。

请单击相应的客户端版本,以了解特定的安装步骤。有关详细信息,请参阅如何确定 VMware Carbon Black Cloud Endpoint 传感器版本

提醒:有关如何使用 Live Response 收集 Windows 日志的信息,请参阅如何使用 Live Response 收集 VMware Carbon Black Endpoint 传感器日志

要收集日志:

  1. 登录到受影响的端点。
  2. 右键单击Windows开始菜单,然后选择Run(运行)。

运行

  1. 在“运行”UI 中,键入 cmd,然后按 CTRL+SHIFT+ENTER。这将以管理员身份运行命令提示符。

“运行”UI

  1. 在命令提示符处,键入 CD [DIRECTORY],然后按 Enter 键。

命令提示符命令

提醒:
  • [DIRECTORY] = VMware Carbon Black Cloud Endpoint 传感器的目录。
  • 默认安装 [DIRECTORY]C:\Program Files\Confer
  1. 键入 repcli capture [DESTINATION DIRECTORY],然后按 Enter。

命令提示符命令

提醒:[DESTINATION DIRECTORY] = 日志捆绑包的目标位置。
  1. 在 Windows 资源管理器中,转至步骤 5 中使用的 [DESTINATION DIRECTORY]
  2. 右键单击 psc_sensor.zip,然后单击重命名

重命名

  1. psc_sensor.zip 重命名为 [MACHINENAME]_psc_sensor.zip
提醒:[MACHINENAME] = 端点的完全限定域名。

要收集日志:

  1. 登录到受影响的端点。
  2. 右键单击Windows开始菜单,然后选择Run(运行)。

运行

  1. 在“运行”UI 中,键入 cmd,然后按 CTRL+SHIFT+ENTER。这将以管理员身份运行命令提示符。

“运行”UI

  1. 在命令提示符处,键入 CD [DIRECTORY],然后按 Enter 键。

命令提示符命令

提醒:
  • [DIRECTORY] = VMware Carbon Black Cloud Endpoint 传感器的目录。
  • 默认安装 [DIRECTORY]C:\Program Files\Confer
  1. 键入 repcli capture,然后按 Enter。

命令提示符命令

  1. 在 Windows 资源管理器中,转至 C:\Windows\TEMP\confer-temp
  2. 如果系统提示需要文件夹访问权限,请单击继续。否则,请继续执行步骤 8。

UAC 提示符

  1. 右键单击 confer_dump.zip,然后单击重命名

重命名

  1. confer_dump.zip 重命名为 [MACHINENAME]_confer_dump.zip
提醒:[MACHINENAME] = 端点的完全限定域名。

请单击相应的客户端版本,以了解特定的安装步骤。有关详细信息,请参阅如何确定 VMware Carbon Black Cloud Endpoint 传感器版本

要收集日志:

  1. 登录到受影响的端点。
  2. 在Apple菜单中,单击Go(转至),然后选择Utilities(实用程序)。

实用程序

  1. 双击 Terminal

终端

  1. 在终端中,键入 type sudo /Applications/VMware\ Carbon\ Black\ Cloud/repcli.bundle/Contents/MacOS/repcli capture [UNINSTALL_CODE] [DESTINATION DIRECTORY],然后按 Enter。

终端命令

提醒:
  1. 填充sudo的密码,然后按Enter键。
  2. 转至 [DESTINATION DIRECTORY],右键单击 confer.zip,然后选择重命名
  3. confer.zip 重命名为 [MACHINENAME]_confer_dump.zip
提醒:[MACHINENAME] = 端点的完全限定域名。

要收集日志:

  1. 登录到受影响的端点。
  2. 在Apple菜单中,单击Go(转至),然后选择Utilities(实用程序)。

实用程序

  1. 双击 Terminal

终端

  1. 在终端中,键入 sudo /Applications/Confer.app/uninstall -l [UNINSTALL_CODE] -d [DESTINATION DIRECTORY],然后按 Enter。

终端命令

提醒:
  1. 填充sudo的密码,然后按Enter键。
  2. 转至 [DESTINATION DIRECTORY],右键单击 confer.zip,然后选择重命名
  3. confer.zip 重命名为 [MACHINENAME]_confer_dump.zip
提醒:[MACHINENAME] = 端点的完全限定域名。

请单击相应的客户端版本,以了解特定的安装步骤。有关详细信息,请参阅如何确定 VMware Carbon Black Cloud Endpoint 传感器版本

要收集日志:

  1. 登录到受影响的端点。
  2. 打开终端

终端

提醒:对于各种 Linux 发行版本,用户界面 (UI) 布局可能会有所不同。
  1. 在终端中,键入 su root,然后按 Enter。
  2. 填写 root 的密码,然后按 Enter 键。

终端命令

  1. 键入 sudo /opt/carbonblack/psc/bin/collectdiags.sh,然后按 Enter。
  2. /tmp 检索日志。文件名采用的格式为 diags_[HOSTNAME]_[EPOCH_TIME]_[RANDOM].tgz

要收集日志:

  1. 登录到受影响的端点。
  2. 打开终端

终端

提醒:对于各种 Linux 发行版本,用户界面 (UI) 布局可能会有所不同。
  1. 在终端中,键入 su root,然后按 Enter。
  2. 填写 root 的密码,然后按 Enter 键。

终端命令

  1. 键入 sudo tar cvf $(hostname –long)_$(date +"%Y-%b-%d_%H-%M-$S")_logs.tgz /var/opt/carbonblack/psc/log,然后按 Enter。
  2. /var/opt/carbonblack/psc/log 检索日志。

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

 

Additional Information

   

Videos

   

Produse afectate

VMware Carbon Black
Proprietăți articol
Article Number: 000125504
Article Type: Solution
Ultima modificare: 20 dec. 2022
Version:  19
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.