如何收集 VMware Carbon Black Cloud Endpoint 感應器的記錄
Summary: 瞭解如何依照下列指示,在 Windows、Mac 或 Linux 上收集 VMware Carbon Black Cloud Endpoint 的記錄。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
本文探討收集 VMware Carbon Black Cloud Endpoint 感應器記錄的方法。
受影響的產品:
- VMware Carbon Black Cloud Endpoint
受影響的版本:
- v3.3.0 及更新版本 (Windows)
- v3.1.0 及更新版本 (Mac)
- v2.5.0 及更新版本 (Linux)
受影響的作業系統:
- Windows
- Mac
- Linux
注意:如需擷取 HAR 檔案以故障診斷 VMware Carbon Black Cloud 的相關資訊,請參閱 如何擷取 VMware Carbon Black Cloud 的 HAR 檔案。
按一下 Windows、 Mac 或 Linux ,即可取得記錄收集程序的詳細資訊。
Windows
按一下適當的用戶端版本,以瞭解特定的安裝步驟。請參閱如何識別 VMware Carbon Black Cloud Endpoint 感應器版本,以取得更多資訊。
注意:如需使用即時回應收集 Windows 記錄的相關資訊,請參閱如何使用即時回應收集 VMware Carbon Black Endpoint 感應器記錄。
- 登入受影響的端點。
- 以滑鼠右鍵按一下 Windows「開始」功能表,然後選取執行。
- 在執行 UI 中輸入
cmd然後按下 CTRL+SHIFT+ENTER。這會以系統管理員身分執行命令提示字元。
- 在命令提示字元中輸入
CD [DIRECTORY]然後按下 Enter 鍵。
注意:[DIRECTORY]= VMware Carbon Black Cloud Endpoint 感應器的目錄- 預設安裝
[DIRECTORY]是C:\Program Files\Confer。
- 類型
repcli capture [DESTINATION DIRECTORY]然後按下 Enter 鍵。
注意:[DESTINATION DIRECTORY]= 記錄套裝的目標目的地 - 在 Windows 檔案總管中,前往
[DESTINATION DIRECTORY]在步驟 5 中使用。 - 以滑鼠右鍵按一下
psc_sensor.zip,然後按下 重命名。
- 重新命名
psc_sensor.zip的輸出傳送至[MACHINENAME]_psc_sensor.zip。注意:[MACHINENAME]= 端點的完整網域名稱
- 登入受影響的端點。
- 以滑鼠右鍵按一下 Windows「開始」功能表,然後選取執行。
- 在執行 UI 中輸入
cmd然後按下 CTRL+SHIFT+ENTER。這會以系統管理員身分執行命令提示字元。
- 在命令提示字元中輸入
CD [DIRECTORY]然後按下 Enter 鍵。
注意:[DIRECTORY]= VMware Carbon Black Cloud Endpoint 感應器的目錄- 預設安裝
[DIRECTORY]是C:\Program Files\Confer。
- 類型
repcli capture然後按下 Enter 鍵。
- 在 Windows 檔案總管中,前往
C:\Windows\TEMP\confer-temp。 - 如果系統提示要求提供資料夾存取,請按一下繼續。否則請前往步驟 8。
- 以滑鼠右鍵按一下
confer_dump.zip,然後按下 重命名。
- 重新命名
confer_dump.zip的輸出傳送至[MACHINENAME]_confer_dump.zip。注意:[MACHINENAME]= 端點的完整網域名稱
Mac
按一下適當的用戶端版本,以瞭解特定的安裝步驟。請參閱 如何識別 VMware Carbon Black Cloud Endpoint 感應器版本,以取得更多資訊。
- 登入受影響的端點。
- 在 Apple 功能表中,按一下執行,然後選取公用程式。
- 按兩下終端機。
- 在終端機中,輸入
type sudo /Applications/VMware\ Carbon\ Black\ Cloud/repcli.bundle/Contents/MacOS/repcli capture [UNINSTALL_CODE] [DESTINATION DIRECTORY]然後按下 Enter 鍵。
注意:[UNINSTALL_CODE]= VMware Carbon Black Cloud Endpoint 的移除代碼- 如需移除代碼的詳細資訊,請參閱 如何管理 VMware Carbon Black Cloud Endpoint 解除安裝代碼。
[DESTINATION DIRECTORY]= 記錄套裝的目標目的地
- 填入 sudo 的密碼,然後按下 Enter 鍵。
- 赴
[DESTINATION DIRECTORY],右鍵按兩下confer.zip,然後選擇 重命名。 - 重新命名
confer.zip的輸出傳送至[MACHINENAME]_confer_dump.zip。注意:[MACHINENAME]= 端點的完整網域名稱
- 登入受影響的端點。
- 在 Apple 功能表中,按一下執行,然後選取公用程式。
- 按兩下終端機。
- 在終端機中,輸入
sudo /Applications/Confer.app/uninstall -l [UNINSTALL_CODE] -d [DESTINATION DIRECTORY]然後按下 Enter 鍵。
注意:[UNINSTALL_CODE]= VMware Carbon Black Cloud Endpoint 的移除代碼- 如需移除代碼的詳細資訊,請參閱 如何管理 VMware Carbon Black Cloud Endpoint 解除安裝代碼。
[DESTINATION DIRECTORY]= 記錄套裝的目標目的地
- 填入 sudo 的密碼,然後按下 Enter 鍵。
- 赴
[DESTINATION DIRECTORY],右鍵按兩下confer.zip,然後選擇 重命名。 - 重新命名
confer.zip的輸出傳送至[MACHINENAME]_confer_dump.zip。注意:[MACHINENAME]= 端點的完整網域名稱
Linux
按一下適當的用戶端版本,以瞭解特定的安裝步驟。請參閱 如何識別 VMware Carbon Black Cloud Endpoint 感應器版本,以取得更多資訊。
- 登入受影響的端點。
- 開啟終端機。
注意:Linux 發行版本的使用者介面 (UI) 配置可能有所不同。 - 在終端機中,輸入
su root然後按下 Enter 鍵。 - 填入以下項目的密碼:
root然後按下 Enter 鍵。
- 類型
sudo /opt/carbonblack/psc/bin/collectdiags.sh然後按下 Enter 鍵。 - 從以下位置擷取記錄:
/tmp。檔案名的格式為diags_[HOSTNAME]_[EPOCH_TIME]_[RANDOM].tgz
- 登入受影響的端點。
- 開啟終端機。
注意:Linux 發行版本的使用者介面 (UI) 配置可能有所不同。 - 在終端機中,輸入
su root然後按下 Enter 鍵。 - 填入以下項目的密碼:
root然後按下 Enter 鍵。
- 類型
sudo tar cvf $(hostname –long)_$(date +"%Y-%b-%d_%H-%M-$S")_logs.tgz /var/opt/carbonblack/psc/log然後按下 Enter 鍵。 - 從以下位置擷取記錄:
/var/opt/carbonblack/psc/log。
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
Additional Information
Videos
Affected Products
VMware Carbon BlackArticle Properties
Article Number: 000125504
Article Type: How To
Last Modified: 16 Dec 2024
Version: 23
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.