Treceți la conținutul principal

Как собрать журналы датчика VMware Carbon Black Endpoint с помощью Live Response

Summary: Журналы датчика VMware Carbon Black Endpoint можно собрать удаленно с помощью Live Response, следуя этим инструкциям.

Acest articol se aplică pentru Acest articol nu se aplică pentru Acest articol nu este legat de un produs specific. Acest articol nu acoperă toate versiunile de produs existente.

Symptoms

Как удаленно собирать журналы VMware Carbon Black Endpoint и Carbon Black Defense с помощью функции Live Response в консоли VMware Carbon Black Cloud Console.


Затронутые продукты:

  • VMware Carbon Black Endpoint

Затронутые версии:

  • v3.4 и более поздние версии

Затронутые операционные системы:

  • Windows

Cause

Неприменимо

Resolution

Функция Live Response в VMware Carbon Black Cloud — это метод удаленного сбора журналов датчиков с конечных точек Microsoft Windows для поиска и устранения неисправностей.

Убедитесь, что политика Live Response включена для конечной точки. По умолчанию этот параметр выключен.

Для сбора журналов с помощью Live Response администратор должен сначала включить политику,запустить Live Response, а затем загрузить журналы. Выберите нужное действие, чтобы ознакомиться с дополнительными сведениями.

Примечание. В этой статье рассказывается о том, как собирать журналы с помощью функции Live Response. Дополнительные сведения о ручном сборе журналов для всех операционных систем см. в разделе Как собрать журналы для датчика VMware Carbon Black Cloud Endpoint.

Включение политики

Чтобы проверить, включена ли политика, выполните следующие действия.

  1. В браузере перейдите по ссылке [REGION].conferdeploy.net.
Примечание. [REGION] = регион пользователя
  1. Войдите в VMware Carbon Black Cloud.

Вход в VMware Carbon Black Cloud

  1. На левой панели меню нажмите Enforce.

Enforce

  1. Нажмите Policies.

Политики

  1. Выберите политику.

Выбор политики

  1. Нажмите на вкладку Sensor и убедитесь, что выбран параметр Enable Live Response.

Enable Live Response

Запуск Live Response

Запуск Live Response отличается в зависимости от версии датчика VMware Carbon Black Cloud Endpoint. Выберите нужную версию, чтобы ознакомиться с дополнительными сведениями.

Примечание. Дополнительную информацию об определении версии см. в документе Как определить версию датчика VMware Carbon Black Cloud Endpoint.

Чтобы использовать Live Response с версией 3.6 и более поздними версиями, выполните действия:

  1. На левой панели меню нажмите Endpoints.

Endpoints

  1. В пользовательском интерфейсе «All Sensors» выполните следующее.
    1. Найдите нужное поле Device Name.
    2. Нажмите на раскрывающийся список Actions.
    3. Нажмите Live Response.

Пользовательский интерфейс «All Sensors»

  1. После подключения к Live Response введите cd c:\program files\confer и нажмите клавишу Enter.

Изменение каталога в Live Response

  1. Введите execfg cmd /c repcli capture “[PATH]” и нажмите клавишу Enter. Это действие запускает утилиту RepCLI для записи журнала.

Запись журнала в Live Response

Примечание. [PATH] = абсолютный путь к папке назначения журнала

После завершения сбора в командной строке отобразится сообщение о том, что записные журналы помещаются в указанную папку назначения с именем файла psc_sensor.zip

Примечание. Это может занять несколько минут, в зависимости от пропускной способности сети для конечной точки, на которую записываюются журналы, и устройства, получающем файлы.

Использование Live Response с версий 3.4–3.5:

  1. На левой панели меню нажмите Endpoints.

Endpoints

  1. В пользовательском интерфейсе All Esensors:
    1. Найдите нужное поле Device Name.
    2. Нажмите на раскрывающийся список Actions.
    3. Нажмите Live Response.

Пользовательский интерфейс «All Sensors»

  1. После подключения к Live Response введите cd c:\program files\confer и нажмите клавишу Enter.

Изменение каталога в Live Response

  1. Введите execfg repcli capture и нажмите клавишу Enter. Это действие запускает утилиту RepCLI для записи журнала.

Запись журнала в Live Response

После завершения сбора в командной строке C:\Windows\Temp\cb-temp отобразится сообщение о том, что записные журналы помещены с именем файла psc_sensor.zip

Примечание. Это может занять несколько минут, в зависимости от пропускной способности сети для конечной точки, на которую записываюются журналы, и устройства, получающем файлы.

Скачивание журналов

Чтобы скачать журналы, выполните следующие действия.

  1. Введите cd C:\Windows\Temp\cb-temp и нажмите клавишу Enter.
Примечание. Если требуется только журнал confer.log, его можно собрать напрямую, перейдя в папку C:\Program Files\Confer, введя get confer.log, а затем нажав клавишу Enter.
  1. Введите get psc_sensor.zip и нажмите клавишу Enter.

Получение файла с помощью Live Response

  1. Файл скачивается на локальный компьютер с буквенно-цифровым именем. Переименуйте файл, чтобы добавить расширение .zip.
Примечание.
  • Пример буквенно-цифрового имени файла: 36355d97-18f4-416e-be8f-473bda7c30fb.
  • Пример измененного имени файла: SensorCapture.zip.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Additional Information

 

Videos

 

Produse afectate

VMware Carbon Black
Proprietăți articol
Article Number: 000175263
Article Type: Solution
Ultima modificare: 03 feb. 2023
Version:  18
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.