如何收集 VMware Carbon Black Cloud Endpoint 传感器的日志
Summary: 了解如何按照以下说明在 Windows、Mac 或 Linux 上收集 VMware Carbon Black Cloud Endpoint 的日志。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
本文介绍收集 VMware Carbon Black Cloud Endpoint 传感器日志的方法。
受影响的产品:
- VMware Carbon Black Cloud Endpoint
受影响的版本:
- v3.3.0 及更高版本 (Windows)
- v3.1.0 及更高版本 (Mac)
- v2.5.0 及更高版本 (Linux)
受影响的操作系统:
- Windows
- Mac
- Linux
提醒:有关捕获 HAR 文件以对 VMware Carbon Black Cloud 进行故障处理的信息,请参阅 如何捕获 VMware Carbon Black Cloud 的 HAR 文件(英文版)。
单击 Windows、 Mac或 Linux ,了解有关日志收集过程的更多信息。
Windows
单击相应的客户端版本,以了解特定的安装步骤。有关详细信息,请参阅如何确定 VMware Carbon Black Cloud Endpoint 传感器版本。
提醒:有关如何使用 Live Response 收集 Windows 日志的信息,请参阅如何使用 Live Response 收集 VMware Carbon Black Endpoint 传感器日志。
- 登录到受影响的端点。
- 右键单击Windows开始菜单,然后选择Run(运行)。
- 在“运行”UI中,键入
cmd,然后按 CTRL+SHIFT+ENTER。这将以管理员身份运行命令提示符。
- 在命令提示符处,键入
CD [DIRECTORY]分析文件,然后按 Enter 键。
提醒:[DIRECTORY]= VMware Carbon Black Cloud Endpoint 传感器的目录- 默认安装
[DIRECTORY]是C:\Program Files\Confer。
- 在终端中键入 ,
repcli capture [DESTINATION DIRECTORY]分析文件,然后按 Enter 键。
提醒:[DESTINATION DIRECTORY]= 日志包的目标 - 在 Windows 资源管理器中,转至
[DESTINATION DIRECTORY]在步骤 5 中使用。 - 右键单击
psc_sensor.zip,然后单击 重命名。
- 重命名
psc_sensor.zip设置为[MACHINENAME]_psc_sensor.zip。提醒:[MACHINENAME]= 端点的完全限定域名
- 登录到受影响的端点。
- 右键单击Windows开始菜单,然后选择Run(运行)。
- 在“运行”UI中,键入
cmd,然后按 CTRL+SHIFT+ENTER。这将以管理员身份运行命令提示符。
- 在命令提示符处,键入
CD [DIRECTORY]分析文件,然后按 Enter 键。
提醒:[DIRECTORY]= VMware Carbon Black Cloud Endpoint 传感器的目录- 默认安装
[DIRECTORY]是C:\Program Files\Confer。
- 在终端中键入 ,
repcli capture分析文件,然后按 Enter 键。
- 在 Windows 资源管理器中,转至:
C:\Windows\TEMP\confer-temp。 - 如果系统提示需要文件夹访问权限,请单击继续。否则,请继续执行步骤 8。
- 右键单击
confer_dump.zip,然后单击 重命名。
- 重命名
confer_dump.zip设置为[MACHINENAME]_confer_dump.zip。提醒:[MACHINENAME]= 端点的完全限定域名
Mac
单击相应的客户端版本,以了解特定的安装步骤。有关更多信息 ,请参阅如何确定 VMware Carbon Black Cloud Endpoint 传感器版本。
- 登录到受影响的端点。
- 在Apple菜单中,单击Go(转至),然后选择Utilities(实用程序)。
- 双击 Terminal。
- 在终端中,键入
type sudo /Applications/VMware\ Carbon\ Black\ Cloud/repcli.bundle/Contents/MacOS/repcli capture [UNINSTALL_CODE] [DESTINATION DIRECTORY]分析文件,然后按 Enter 键。
提醒:[UNINSTALL_CODE]= VMware Carbon Black Cloud Endpoint 的删除代码- 有关移除代码的更多信息,请参阅 如何管理 VMware Carbon Black Cloud Endpoint 卸载代码。
[DESTINATION DIRECTORY]= 日志包的目标
- 填充sudo的密码,然后按Enter键。
- 请转至
[DESTINATION DIRECTORY],右键单击confer.zip,然后选择 重命名。 - 重命名
confer.zip设置为[MACHINENAME]_confer_dump.zip。提醒:[MACHINENAME]= 端点的完全限定域名
- 登录到受影响的端点。
- 在Apple菜单中,单击Go(转至),然后选择Utilities(实用程序)。
- 双击 Terminal。
- 在终端中,键入
sudo /Applications/Confer.app/uninstall -l [UNINSTALL_CODE] -d [DESTINATION DIRECTORY]分析文件,然后按 Enter 键。
提醒:[UNINSTALL_CODE]= VMware Carbon Black Cloud Endpoint 的删除代码- 有关移除代码的更多信息,请参阅 如何管理 VMware Carbon Black Cloud Endpoint 卸载代码。
[DESTINATION DIRECTORY]= 日志包的目标
- 填充sudo的密码,然后按Enter键。
- 请转至
[DESTINATION DIRECTORY],右键单击confer.zip,然后选择 重命名。 - 重命名
confer.zip设置为[MACHINENAME]_confer_dump.zip。提醒:[MACHINENAME]= 端点的完全限定域名
Linux
单击相应的客户端版本,以了解特定的安装步骤。有关更多信息 ,请参阅如何确定 VMware Carbon Black Cloud Endpoint 传感器版本。
- 登录到受影响的端点。
- 打开终端。
提醒:对于各种 Linux 发行版本,用户界面 (UI) 布局可能会有所不同。 - 在终端中,键入
su root分析文件,然后按 Enter 键。 - 填充以下项的密码:
root分析文件,然后按 Enter 键。
- 在终端中键入 ,
sudo /opt/carbonblack/psc/bin/collectdiags.sh分析文件,然后按 Enter 键。 - 从以下位置检索日志
/tmp。文件名的格式为diags_[HOSTNAME]_[EPOCH_TIME]_[RANDOM].tgz
- 登录到受影响的端点。
- 打开终端。
提醒:对于各种 Linux 发行版本,用户界面 (UI) 布局可能会有所不同。 - 在终端中,键入
su root分析文件,然后按 Enter 键。 - 填充以下项的密码:
root分析文件,然后按 Enter 键。
- 在终端中键入 ,
sudo tar cvf $(hostname –long)_$(date +"%Y-%b-%d_%H-%M-$S")_logs.tgz /var/opt/carbonblack/psc/log分析文件,然后按 Enter 键。 - 从以下位置检索日志
/var/opt/carbonblack/psc/log。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Additional Information
Videos
Affected Products
VMware Carbon BlackArticle Properties
Article Number: 000125504
Article Type: How To
Last Modified: 16 Dec 2024
Version: 23
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.