Como coletar logs do sensor do VMware Carbon Black Endpoint usando o Live Response

Summary: Os logs do sensor do VMware Carbon Black Endpoint podem ser coletados remotamente com o Live Response, seguindo estas instruções.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Como coletar registros do VMware Carbon Black Endpoint e do Carbon Black Defense remotamente usando o recurso Live Response no VMware Carbon Black Cloud Console.

Produtos afetados:

  • VMware Carbon Black Endpoint

Versões afetadas:

  • v3.4 e versões posteriores

Sistemas operacionais afetados:

  • Windows

Cause

Não aplicável

Resolution

O recurso Live Response do VMware Carbon Black Cloud é um método para coletar remotamente logs dos sensores dos endpoints do Microsoft Windows para fornecer suporte para solução de problemas.

Certifique-se de que a política do Live Response esteja ativada para o endpoint. A configuração padrão é Disabled.

Para coletar registros usando o Live Response, o administrador deve primeiro habilitar a política, executar o Live Response e, em seguida, fazer download dos registros. Para obter mais informações, clique na ação apropriada.

Nota: Este artigo se concentra em como coletar logs usando o recurso Live Response. Para obter mais informações sobre como coletar manualmente logs de todos os sistemas operacionais, consulte Como coletar logs do sensor do VMware Carbon Black Cloud Endpoint.

Ativar política

Para verificar se a política está ativada:

  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
Nota: [REGION] = região do grupo de usuários
  1. Faça login no VMware Carbon Black Cloud.

Login no VMware Carbon Black Cloud

  1. No painel do menu esquerdo, clique em Enforce.

Enforce

  1. Clique em Policies.

Políticas

  1. Selecione uma política.

Seleção da política

  1. Clique na guia Sensor e verifique se a opção Enable Live Response está selecionada.

Enable Live Response

Executar o Live Response

A execução do Live Response difere de acordo com a versão do sensor do VMware Carbon Black Cloud Endpoint. Clique na versão adequada para obter mais informações.

Nota: Para obter mais informações sobre como identificar a versão, consulte Como identificar a versão do sensor do VMware Carbon Black Cloud Endpoint.

Para usar o Live Response com a versão 3.6 e posterior:

  1. No painel do menu esquerdo, clique em Endpoints.

Endpoints

  1. Na interface do usuário (IU) de All Sensors:
    1. Localize o Device Name apropriado.
    2. Clique na caixa suspensa em Actions.
    3. Clique em Live Response.

Interface do usuário de All Sensors

  1. Depois que o Live Response se conectar, digite cd c:\program files\confer e pressione Enter.

Como alterar o diretório no Live Response

  1. Digite execfg cmd /c repcli capture “[PATH]” e pressione Enter. Isso executa utilitário RepCLI para capturar o log.

Como capturar o log no Live Response

Nota: [PATH] = O caminho absoluto da pasta de destino do log

Depois que a captura for concluída, um prompt indica que os registros capturados são colocados na pasta de destino especificada com um nome de arquivo de psc_sensor.zip

Nota: Isso pode levar vários minutos, dependendo da largura de banda da rede do endpoint no qual os registros estão sendo capturados e do dispositivo que recebe os arquivos.

Para usar o Live Response com a versão 3.4 a 3.5:

  1. No painel do menu esquerdo, clique em Endpoints.

Endpoints

  1. Na interface do usuário (UI) All Esensors:
    1. Localize o Device Name apropriado.
    2. Clique na caixa suspensa em Actions.
    3. Clique em Live Response.

Interface do usuário de All Sensors

  1. Depois que o Live Response se conectar, digite cd c:\program files\confer e pressione Enter.

Como alterar o diretório no Live Response

  1. Digite execfg repcli capture e pressione Enter. Isso executa utilitário RepCLI para capturar o log.

Como capturar o log no Live Response

Quando a captura estiver concluída, um prompt indica que os registros capturados são colocados no C:\Windows\Temp\cb-temp com um nome de arquivo de psc_sensor.zip

Nota: Isso pode levar vários minutos, dependendo da largura de banda da rede do endpoint no qual os registros estão sendo capturados e do dispositivo que recebe os arquivos.

Download Logs

Para fazer download dos logs:

  1. Digite cd C:\Windows\Temp\cb-temp e pressione Enter.
Nota: Se apenas o confer.log for necessário, ele poderá ser coletado diretamente acessando C:\Program Files\Confer, digitando get confer.log e pressionando Enter.
  1. Digite get psc_sensor.zip e pressione Enter.

Como obter arquivos usando o Live Response

  1. O arquivo é baixado em seu computador local com um nome de arquivo alfanumérico. Renomeie o arquivo para adicionar uma extensão .zip.
Nota:
  • Exemplo de nome de arquivo alfanumérico: 36355d97-18f4-416e-be8f-473bda7c30fb.
  • Exemplo de nome de arquivo renomeado: SensorCapture.zip.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Additional Information

 

Videos

 

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000175263
Article Type: Solution
Last Modified: 01 Aug 2025
Version:  19
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.