Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Как собрать журналы датчика VMware Carbon Black Endpoint с помощью Live Response

Сводка: Журналы датчика VMware Carbon Black Endpoint можно собрать удаленно с помощью Live Response, следуя этим инструкциям.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

Как удаленно собирать журналы VMware Carbon Black Endpoint и Carbon Black Defense с помощью функции Live Response в консоли VMware Carbon Black Cloud Console.


Затронутые продукты:

  • VMware Carbon Black Endpoint

Затронутые версии:

  • v3.4 и более поздние версии

Затронутые операционные системы:

  • Windows

Причина

Неприменимо

Разрешение

Функция Live Response в VMware Carbon Black Cloud — это метод удаленного сбора журналов датчиков с конечных точек Microsoft Windows для поиска и устранения неисправностей.

Убедитесь, что политика Live Response включена для конечной точки. По умолчанию этот параметр выключен.

Для сбора журналов с помощью Live Response администратор должен сначала включить политику,запустить Live Response, а затем загрузить журналы. Выберите нужное действие, чтобы ознакомиться с дополнительными сведениями.

Примечание. В этой статье рассказывается о том, как собирать журналы с помощью функции Live Response. Дополнительные сведения о ручном сборе журналов для всех операционных систем см. в разделе Как собрать журналы для датчика VMware Carbon Black Cloud Endpoint.

Включение политики

Чтобы проверить, включена ли политика, выполните следующие действия.

  1. В браузере перейдите по ссылке [REGION].conferdeploy.net.
Примечание. [REGION] = регион пользователя
  1. Войдите в VMware Carbon Black Cloud.

Вход в VMware Carbon Black Cloud

  1. На левой панели меню нажмите Enforce.

Enforce

  1. Нажмите Policies.

Политики

  1. Выберите политику.

Выбор политики

  1. Нажмите на вкладку Sensor и убедитесь, что выбран параметр Enable Live Response.

Enable Live Response

Запуск Live Response

Запуск Live Response отличается в зависимости от версии датчика VMware Carbon Black Cloud Endpoint. Выберите нужную версию, чтобы ознакомиться с дополнительными сведениями.

Примечание. Дополнительную информацию об определении версии см. в документе Как определить версию датчика VMware Carbon Black Cloud Endpoint.

Чтобы использовать Live Response с версией 3.6 и более поздними версиями, выполните действия:

  1. На левой панели меню нажмите Endpoints.

Endpoints

  1. В пользовательском интерфейсе «All Sensors» выполните следующее.
    1. Найдите нужное поле Device Name.
    2. Нажмите на раскрывающийся список Actions.
    3. Нажмите Live Response.

Пользовательский интерфейс «All Sensors»

  1. После подключения к Live Response введите cd c:\program files\confer и нажмите клавишу Enter.

Изменение каталога в Live Response

  1. Введите execfg cmd /c repcli capture “[PATH]” и нажмите клавишу Enter. Это действие запускает утилиту RepCLI для записи журнала.

Запись журнала в Live Response

Примечание. [PATH] = абсолютный путь к папке назначения журнала

После завершения сбора в командной строке отобразится сообщение о том, что записные журналы помещаются в указанную папку назначения с именем файла psc_sensor.zip

Примечание. Это может занять несколько минут, в зависимости от пропускной способности сети для конечной точки, на которую записываюются журналы, и устройства, получающем файлы.

Использование Live Response с версий 3.4–3.5:

  1. На левой панели меню нажмите Endpoints.

Endpoints

  1. В пользовательском интерфейсе All Esensors:
    1. Найдите нужное поле Device Name.
    2. Нажмите на раскрывающийся список Actions.
    3. Нажмите Live Response.

Пользовательский интерфейс «All Sensors»

  1. После подключения к Live Response введите cd c:\program files\confer и нажмите клавишу Enter.

Изменение каталога в Live Response

  1. Введите execfg repcli capture и нажмите клавишу Enter. Это действие запускает утилиту RepCLI для записи журнала.

Запись журнала в Live Response

После завершения сбора в командной строке C:\Windows\Temp\cb-temp отобразится сообщение о том, что записные журналы помещены с именем файла psc_sensor.zip

Примечание. Это может занять несколько минут, в зависимости от пропускной способности сети для конечной точки, на которую записываюются журналы, и устройства, получающем файлы.

Скачивание журналов

Чтобы скачать журналы, выполните следующие действия.

  1. Введите cd C:\Windows\Temp\cb-temp и нажмите клавишу Enter.
Примечание. Если требуется только журнал confer.log, его можно собрать напрямую, перейдя в папку C:\Program Files\Confer, введя get confer.log, а затем нажав клавишу Enter.
  1. Введите get psc_sensor.zip и нажмите клавишу Enter.

Получение файла с помощью Live Response

  1. Файл скачивается на локальный компьютер с буквенно-цифровым именем. Переименуйте файл, чтобы добавить расширение .zip.
Примечание.
  • Пример буквенно-цифрового имени файла: 36355d97-18f4-416e-be8f-473bda7c30fb.
  • Пример измененного имени файла: SensorCapture.zip.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Дополнительная информация

 

Видео

 

Затронутые продукты

VMware Carbon Black
Свойства статьи
Номер статьи: 000175263
Тип статьи: Solution
Последнее изменение: 03 Feb 2023
Версия:  18
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.