Article Number: 000125504
如何收集 VMware Carbon Black Cloud Endpoint 感應器的記錄
Summary: 您可以依照下列說明,為 VMware Carbon Black Cloud Endpoint 收集記錄。
Article Content
Symptoms
本文探討收集 VMware Carbon Black Cloud Endpoint 感應器記錄的方法。
受影響的產品:
VMware Carbon Black Cloud Endpoint
受影響的版本:
v3.3.0 及更新版本 (Windows)
v3.1.0 及更新版本 (Mac)
v2.5.0 及更新版本 (Linux)
受影響的作業系統:
Windows
Mac
Linux
Cause
不適用。
Resolution
注意:如需如何擷取 HAR 檔案以故障診斷 VMware Carbon Black Cloud 的相關資訊,請參閱如何擷取 VMware Carbon Black Cloud 的 HAR 檔案。
針對記錄收集過程,按一下適當的作業系統。
按一下適當的用戶端版本,以瞭解特定的安裝步驟。請參閱如何識別 VMware Carbon Black Cloud Endpoint 感應器版本,以取得更多資訊。
注意:如需使用即時回應收集 Windows 記錄的相關資訊,請參閱如何使用即時回應收集 VMware Carbon Black Endpoint 感應器記錄。
若要收集記錄:
- 登入受影響的端點。
- 以滑鼠右鍵按一下 Windows「開始」功能表,然後選取執行。
- 在「執行 UI」中,輸入
cmd,然後按下 CTRL+SHIFT+ENTER 鍵。這會以系統管理員身分執行命令提示字元。
- 在「命令提示字元」中,輸入
CD [DIRECTORY],然後按下 Enter 鍵。
注意:
[DIRECTORY]= VMware Carbon Black Cloud Endpoint 感應器的目錄。- 預設安裝
[DIRECTORY]為C:\Program Files\Confer。
- 輸入
repcli capture [DESTINATION DIRECTORY],然後按下 Enter 鍵。
注意:
[DESTINATION DIRECTORY] = 記錄套裝的目標目的地。
- 在 Windows 檔案總管中,前往步驟 5 中使用的
[DESTINATION DIRECTORY]。 - 在
psc_sensor.zip上按一下滑鼠右鍵,再按一下重新命名。
- 將
psc_sensor.zip重新命名為[MACHINENAME]_psc_sensor.zip。
注意:
[MACHINENAME] = 端點的完整網域名稱。
若要收集記錄:
- 登入受影響的端點。
- 以滑鼠右鍵按一下 Windows「開始」功能表,然後選取執行。
- 在「執行 UI」中,輸入
cmd,然後按下 CTRL+SHIFT+ENTER 鍵。這會以系統管理員身分執行命令提示字元。
- 在「命令提示字元」中,輸入
CD [DIRECTORY],然後按下 Enter 鍵。
注意:
[DIRECTORY]= VMware Carbon Black Cloud Endpoint 感應器的目錄。- 預設安裝
[DIRECTORY]為C:\Program Files\Confer。
- 輸入
repcli capture,然後按下 Enter 鍵。
- 在 Windows 檔案總管中,前往
C:\Windows\TEMP\confer-temp。 - 如果系統提示要求提供資料夾存取,請按一下繼續。否則請前往步驟 8。
- 在
confer_dump.zip上按一下滑鼠右鍵,再按一下重新命名。
- 將
confer_dump.zip重新命名為[MACHINENAME]_confer_dump.zip。
注意:
[MACHINENAME] = 端點的完整網域名稱。
按一下適當的用戶端版本,以瞭解特定的安裝步驟。請參閱如何識別 VMware Carbon Black Cloud Endpoint 感應器版本,以取得更多資訊。
若要收集記錄:
- 登入受影響的端點。
- 在 Apple 功能表中,按一下執行,然後選取公用程式。
- 按兩下終端機。
- 在「終端機」中,輸入
type sudo /Applications/VMware\ Carbon\ Black\ Cloud/repcli.bundle/Contents/MacOS/repcli capture [UNINSTALL_CODE] [DESTINATION DIRECTORY],然後按 Enter 鍵。
注意:
[UNINSTALL_CODE]= VMware Carbon Black Cloud Endpoint 的移除代碼。如需更多資訊,請參閱如何管理 VMware Carbon Black Cloud Endpoint 解除安裝代碼。[DESTINATION DIRECTORY]= 記錄套裝的目標目的地。
- 填入 sudo 的密碼,然後按下 Enter 鍵。
- 前往
[DESTINATION DIRECTORY],以滑鼠右鍵按一下confer.zip,然後選取重新命名。 - 將
confer.zip重新命名為[MACHINENAME]_confer_dump.zip。
注意:
[MACHINENAME] = 端點的完整網域名稱。
若要收集記錄:
- 登入受影響的端點。
- 在 Apple 功能表中,按一下執行,然後選取公用程式。
- 按兩下終端機。
- 在「終端機」中,輸入
sudo /Applications/Confer.app/uninstall -l [UNINSTALL_CODE] -d [DESTINATION DIRECTORY],然後按 Enter 鍵。
注意:
[UNINSTALL_CODE]= VMware Carbon Black Cloud Endpoint 的移除代碼。如需更多資訊,請參閱如何管理 VMware Carbon Black Cloud Endpoint 解除安裝代碼。[DESTINATION DIRECTORY]= 記錄套裝的目標目的地。
- 填入 sudo 的密碼,然後按下 Enter 鍵。
- 前往
[DESTINATION DIRECTORY],以滑鼠右鍵按一下confer.zip,然後選取重新命名。 - 將
confer.zip重新命名為[MACHINENAME]_confer_dump.zip。
注意:
[MACHINENAME] = 端點的完整網域名稱。
按一下適當的用戶端版本,以瞭解特定的安裝步驟。請參閱如何識別 VMware Carbon Black Cloud Endpoint 感應器版本,以取得更多資訊。
若要收集記錄:
- 登入受影響的端點。
- 開啟終端機。
注意:Linux 發行版本的使用者介面 (UI) 配置可能有所不同。
- 在「終端機」中,輸入
su root,然後按 Enter 鍵。 - 填入
root的密碼,然後按下 Enter 鍵。
- 輸入
sudo /opt/carbonblack/psc/bin/collectdiags.sh,然後按下 Enter 鍵。 - 從
/tmp擷取記錄。檔案名稱格式為diags_[HOSTNAME]_[EPOCH_TIME]_[RANDOM].tgz
若要收集記錄:
- 登入受影響的端點。
- 開啟終端機。
注意:Linux 發行版本的使用者介面 (UI) 配置可能有所不同。
- 在「終端機」中,輸入
su root,然後按 Enter 鍵。 - 填入
root的密碼,然後按下 Enter 鍵。
- 輸入
sudo tar cvf $(hostname –long)_$(date +"%Y-%b-%d_%H-%M-$S")_logs.tgz /var/opt/carbonblack/psc/log,然後按下 Enter 鍵。 - 從
/var/opt/carbonblack/psc/log擷取記錄。
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
Additional Information
Videos
Article Properties
Affected Product
VMware Carbon Black
Last Published Date
20 Dec 2022
Version
19
Article Type
Solution