Come raccogliere i registri per il sensore VMware Carbon Black Endpoint mediante Live Response

Riepilogo: Seguire queste istruzioni per informazioni su come raccogliere i registri di VMware Carbon Black Endpoint Sensor in remoto con Live Response su Windows.

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.
Scopri le altre risorse

Istruzioni

Scopri le istruzioni per raccogliere i registri di VMware Carbon Black Endpoint e Carbon Black Defense in remoto utilizzando la funzione Live Response nella console cloud di VMware Carbon Black.

Prodotti interessati:

  • VMware Carbon Black Endpoint

Versioni interessate:

  • v3.4 e versioni successive

Sistemi operativi interessati:

  • Windows

La funzione Live Response di VMware Carbon Black Cloud consente di raccogliere i registri dei sensori in remoto dagli endpoint Microsoft Windows per supporto nella risoluzione dei problemi.

Verificare che la policy Live Response sia abilitata per l'endpoint. L'impostazione predefinita è Disabilitato.

Per raccogliere i registri mediante Live Response, un amministratore deve innanzitutto abilitare la policy, eseguire Live Response e quindi scaricare i registri. Per maggiori informazioni, cliccare sull'azione appropriata.

Nota: questo articolo è incentrato sulla raccolta dei registri mediante la funzione Live Response. Per maggiori informazioni su come raccogliere i registri manualmente per tutti i sistemi operativi, consultare l'articolo Come raccogliere i registri per il sensore VMware Carbon Black Cloud Endpoint.

Abilitare la policy

  1. In un web browser accedere a <REGION.conferdeploy.net>.
    Nota: <REGION> = Area del tenant
  2. Accedere a VMware Carbon Black Cloud.
    Accesso a VMware Carbon Black Cloud
  3. Nel riquadro a sinistra, cliccare su Enforce.
    Enforce
  4. Cliccare su Policies.
    Policies
  5. Selezionare una policy.
    Selezione di una policy
  6. Cliccare sulla scheda Sensor e verificare che l'opzione Enable Live Response sia selezionata.
    Enable Live Response

Eseguire Live Response

L'esecuzione di Live Response varia a seconda che la versione v3.6 e successive o dalla versione 3.4 alla 3.5 esegua VMware Carbon Black Cloud Endpoint Sensor. Per maggiori informazioni, cliccare sulla versione appropriata.

Nota: per ulteriori informazioni su come identificare la versione, consultare l'articolo Come identificare la versione del sensore VMware Carbon Black Cloud Endpoint.

v3.6 e versioni successive

  1. Nel riquadro a sinistra, cliccare su Endpoints.
    Endpoints
  2. Nell'interfaccia utente (UI) All Sensors di:
    1. Individuare il nome del dispositivo appropriato in Device Name.
    2. Cliccare sulla casella a discesa in Actions.
    3. Cliccare su Live Response.
    Interfaccia utente All Sensors
  3. Una volta che Live Response si connette, digita cd c:\program files\confer e premere INVIO.
    Modifica della directory in Live Response
  4. digitare execfg cmd /c repcli capture "<PATH>" e premere INVIO. Viene eseguita l'utilità RepCLI per acquisire la registrazione.
    Acquisizione della registrazione in Live Response
    Nota: <PATH> = percorso assoluto della cartella di destinazione del registro
  5. Una volta completata l'acquisizione, un prompt indica che i registri acquisiti vengono inseriti nella cartella di destinazione specificata con un nome file di psc_sensor.zip.
    Nota: L'operazione può richiedere diversi minuti, a seconda della larghezza di banda di rete sia per l'endpoint su cui vengono acquisiti i registri sia per il dispositivo che riceve i file.

Da v3.4 a 3.5

  1. Nel riquadro a sinistra, cliccare su Endpoints.
    Endpoints
  2. Nell'interfaccia utente (UI ) All Esensors :
    1. Individuare il nome del dispositivo appropriato in Device Name.
    2. Cliccare sulla casella a discesa in Actions.
    3. Cliccare su Live Response.
    Interfaccia utente All Sensors
  3. Una volta che Live Response si connette, digita cd c:\program files\confer e premere INVIO.
    Modifica della directory in Live Response
  4. digitare execfg repcli capture e premere INVIO. Viene eseguita l'utilità RepCLI per acquisire la registrazione.
    Acquisizione della registrazione in Live Response
  5. Una volta completata l'acquisizione, un prompt indica che i log acquisiti vengono inseriti in C:\Windows\Temp\cb-temp con il nome del file psc_sensor.zip.
    Nota: L'operazione può richiedere diversi minuti, a seconda della larghezza di banda di rete sia per l'endpoint su cui vengono acquisiti i registri sia per il dispositivo che riceve i file.

Scaricare i registri

  1. digitare cd C:\Windows\Temp\cb-temp e premere INVIO.
    Nota: Se solo il confer.log richiesto, può essere raccolto direttamente navigando su C:\Program Files\ConferDigitare get confer.log, quindi premendo Invio.
  2. digitare get psc_sensor.zip e premere INVIO.
    Recupero di un file mediante Live Response
  3. Il file viene scaricato sul computer locale con un nome alfanumerico. Rinominare il file aggiungendo un'estensione .zip.
    Nota:
    • Esempio di nome file alfanumerico: 36355d97-18f4-416e-be8f-473bda7c30fb
    • Esempio di nome file rinominato: SensorCapture.zip

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Informazioni aggiuntive

  

Video

  

Prodotti interessati

VMware Carbon Black
Proprietà dell'articolo
Numero articolo: 000175263
Tipo di articolo: How To
Ultima modifica: 05 mag 2026
Versione:  20
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.