Jak zbierać dzienniki VMware Carbon Black Endpoint Sensor za pomocą funkcji Live Response

Summary: Postępując zgodnie z poniższymi instrukcjami można za pomocą usługi Live Response zdalnie zebrać dzienniki VMware Carbon Black Endpoint Sensor.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Zdalne zbieranie dzienników programu VMware Carbon Black Endpoint i Carbon Black Defense przy użyciu funkcji Live Response w konsoli VMware Carbon Black Cloud Console.

Dotyczy produktów:

  • VMware Carbon Black Endpoint

Dotyczy wersji:

  • 3.4 i nowsze

Dotyczy systemów operacyjnych:

  • Windows

Cause

Nie dotyczy

Resolution

Funkcja Live Response VMware Carbon Black Cloud jest metodą pozwalającą zdalnie gromadzić dzienniki czujników z punktów końcowych Microsoft Windows, aby zapewnić pomoc techniczną w celu rozwiązywania problemów.

Upewnij się, że dla tego punktu końcowego są włączone zasady Live Response. Ustawienie domyślne to Disabled.

Aby zbierać dzienniki za pomocą live response, administrator musi najpierw włączyć zasady, uruchomić live response, a następnie pobrać dzienniki. Aby uzyskać więcej informacji, kliknij odpowiednią operację.

Uwaga: ten artykuł skupia się na gromadzeniu dzienników przy użyciu funkcji Live Response. Aby uzyskać więcej informacji o ręcznym gromadzeniu dzienników we wszystkich systemach operacyjnych, należy zapoznać się z sekcją Jak zbierać dzienniki dla VMware Carbon Black Cloud Endpoint Sensor.

Włącz zasady

Aby sprawdzić, czy zasady są włączone:

  1. W przeglądarce internetowej przejdź do strony [REGION].conferdeploy.net.
Uwaga: [REGION] = region najemcy
  1. Zaloguj się do VMware Carbon Black Cloud.

Logowanie VMware Carbon Black Cloud

  1. W okienku po lewej stronie kliknij pozycję Enforce.

Enforce

  1. Kliknij opcję Policies.

Zasadami

  1. Wybierz zasady.

Wybór zasad

  1. Kliknij kartę Sensor i sprawdź, czy zaznaczona jest opcja Enable Live Response.

Włączanie Live Response

Uruchom Live Response

Uruchamianie Live Response różni się w zależności od wersji programu VMware Carbon Black Cloud Endpoint Sensor. Kliknij odpowiednią wersję, aby uzyskać więcej informacji.

Uwaga: Aby uzyskać więcej informacji na temat rozpoznawania wersji, należy zapoznać się z artykułem Identyfikowanie wersji czujnika VMware Carbon Black Cloud Endpoint.

Aby skorzystać z live response w wersji 3.6 lub nowszej:

  1. W lewym okienku menu kliknij opcję Endpoints.

Punkty końcowe

  1. W interfejsie użytkownika All Sensors:
    1. Odszukaj właściwą nazwę urządzenia.
    2. Kliknij pole listy rozwijanej w obszarze Actions.
    3. Kliknij opcję Live Response.

Interfejs użytkownika All Sensors

  1. Po nawiązaniu połączenia z Live Response wpisz cd c:\program files\confer, a następnie naciśnij klawisz Enter.

Zmiana katalogu w Live Response

  1. Wpisz execfg cmd /c repcli capture “[PATH]” i naciśnij klawisz Enter. Uruchomi to narzędzie RepCLI w celu przechwycenia rejestrowania.

Przechwytywanie rejestrowania w Live Response

Uwaga: [PATH] = Ścieżka bezwzględna folderu docelowego dziennika

Po zakończeniu przechwytywania zostanie wyświetlony monit informujący o umieszczeniu przechwyconych dzienników w określonym folderze docelowym z nazwą pliku psc_sensor.zip

Uwaga: Może to potrwać kilka minut, w zależności od przepustowości sieci dla punktów końcowych, na których zapisywane są dzienniki, oraz od urządzenia odbierającego pliki.

Aby użyć live response w wersji od 3.4 do 3.5:

  1. W lewym okienku menu kliknij opcję Endpoints.

Punkty końcowe

  1. W interfejsie użytkownika All Esensors (UI):
    1. Odszukaj właściwą nazwę urządzenia.
    2. Kliknij pole listy rozwijanej w obszarze Actions.
    3. Kliknij opcję Live Response.

Interfejs użytkownika All Sensors

  1. Po nawiązaniu połączenia z Live Response wpisz cd c:\program files\confer, a następnie naciśnij klawisz Enter.

Zmiana katalogu w Live Response

  1. Wpisz execfg repcli capture i naciśnij klawisz Enter. Uruchomi to narzędzie RepCLI w celu przechwycenia rejestrowania.

Przechwytywanie rejestrowania w Live Response

Po zakończeniu przechwytywania zostanie wyświetlony monit informujący o umieszczeniu C:\Windows\Temp\cb-temp przechwyconych dzienników przy użyciu nazwy pliku psc_sensor.zip

Uwaga: Może to potrwać kilka minut, w zależności od przepustowości sieci dla punktów końcowych, na których zapisywane są dzienniki, oraz od urządzenia odbierającego pliki.

Pobierz dzienniki

Aby pobrać dzienniki:

  1. Wpisz cd C:\Windows\Temp\cb-temp i naciśnij klawisz Enter.
Uwaga: jeśli wymagany jest tylko plik confer.log, można go zbierać bezpośrednio, przechodząc do C:\Program Files\Confer, wpisując get confer.log, a następnie naciskając klawisz Enter.
  1. Wpisz get psc_sensor.zip i naciśnij klawisz Enter.

Pobieranie pliku za pomocą Live Response

  1. Plik zostanie pobrany na komputer lokalny, a jego nazwa będzie alfanumeryczna. Zmień nazwę pliku, aby dodać rozszerzenie .zip.
Uwaga:
  • przykładowa nazwa pliku alfanumerycznego: 36355d97-18f4-416e-be8f-473bda7c30fb.
  • Przykładowa zmieniona nazwa pliku: SensorCapture.zip.

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

Additional Information

 

Videos

 

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000175263
Article Type: Solution
Last Modified: 01 Aug 2025
Version:  19
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.