如何收集 VMware Carbon Black Cloud Endpoint 传感器的日志
摘要: 了解如何按照以下说明在 Windows、Mac 或 Linux 上收集 VMware Carbon Black Cloud Endpoint 的日志。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
本文介绍收集 VMware Carbon Black Cloud Endpoint 传感器日志的方法。
受影响的产品:
- VMware Carbon Black Cloud Endpoint
受影响的版本:
- v3.3.0 及更高版本 (Windows)
- v3.1.0 及更高版本 (Mac)
- v2.5.0 及更高版本 (Linux)
受影响的操作系统:
- Windows
- Mac
- Linux
提醒:有关捕获 HAR 文件以对 VMware Carbon Black Cloud 进行故障处理的信息,请参阅 如何捕获 VMware Carbon Black Cloud 的 HAR 文件(英文版)。
单击 Windows、 Mac或 Linux ,了解有关日志收集过程的更多信息。
Windows
单击相应的客户端版本,以了解特定的安装步骤。有关详细信息,请参阅如何确定 VMware Carbon Black Cloud Endpoint 传感器版本。
提醒:有关如何使用 Live Response 收集 Windows 日志的信息,请参阅如何使用 Live Response 收集 VMware Carbon Black Endpoint 传感器日志。
- 登录到受影响的端点。
- 右键单击Windows开始菜单,然后选择Run(运行)。
- 在“运行”UI中,键入
cmd,然后按 CTRL+SHIFT+ENTER。这将以管理员身份运行命令提示符。
- 在命令提示符处,键入
CD [DIRECTORY]分析文件,然后按 Enter 键。
提醒:[DIRECTORY]= VMware Carbon Black Cloud Endpoint 传感器的目录- 默认安装
[DIRECTORY]是C:\Program Files\Confer。
- 在终端中键入 ,
repcli capture [DESTINATION DIRECTORY]分析文件,然后按 Enter 键。
提醒:[DESTINATION DIRECTORY]= 日志包的目标 - 在 Windows 资源管理器中,转至
[DESTINATION DIRECTORY]在步骤 5 中使用。 - 右键单击
psc_sensor.zip,然后单击 重命名。
- 重命名
psc_sensor.zip设置为[MACHINENAME]_psc_sensor.zip。提醒:[MACHINENAME]= 端点的完全限定域名
- 登录到受影响的端点。
- 右键单击Windows开始菜单,然后选择Run(运行)。
- 在“运行”UI中,键入
cmd,然后按 CTRL+SHIFT+ENTER。这将以管理员身份运行命令提示符。
- 在命令提示符处,键入
CD [DIRECTORY]分析文件,然后按 Enter 键。
提醒:[DIRECTORY]= VMware Carbon Black Cloud Endpoint 传感器的目录- 默认安装
[DIRECTORY]是C:\Program Files\Confer。
- 在终端中键入 ,
repcli capture分析文件,然后按 Enter 键。
- 在 Windows 资源管理器中,转至:
C:\Windows\TEMP\confer-temp。 - 如果系统提示需要文件夹访问权限,请单击继续。否则,请继续执行步骤 8。
- 右键单击
confer_dump.zip,然后单击 重命名。
- 重命名
confer_dump.zip设置为[MACHINENAME]_confer_dump.zip。提醒:[MACHINENAME]= 端点的完全限定域名
Mac
单击相应的客户端版本,以了解特定的安装步骤。有关更多信息 ,请参阅如何确定 VMware Carbon Black Cloud Endpoint 传感器版本。
- 登录到受影响的端点。
- 在Apple菜单中,单击Go(转至),然后选择Utilities(实用程序)。
- 双击 Terminal。
- 在终端中,键入
type sudo /Applications/VMware\ Carbon\ Black\ Cloud/repcli.bundle/Contents/MacOS/repcli capture [UNINSTALL_CODE] [DESTINATION DIRECTORY]分析文件,然后按 Enter 键。
提醒:[UNINSTALL_CODE]= VMware Carbon Black Cloud Endpoint 的删除代码- 有关移除代码的更多信息,请参阅 如何管理 VMware Carbon Black Cloud Endpoint 卸载代码。
[DESTINATION DIRECTORY]= 日志包的目标
- 填充sudo的密码,然后按Enter键。
- 请转至
[DESTINATION DIRECTORY],右键单击confer.zip,然后选择 重命名。 - 重命名
confer.zip设置为[MACHINENAME]_confer_dump.zip。提醒:[MACHINENAME]= 端点的完全限定域名
- 登录到受影响的端点。
- 在Apple菜单中,单击Go(转至),然后选择Utilities(实用程序)。
- 双击 Terminal。
- 在终端中,键入
sudo /Applications/Confer.app/uninstall -l [UNINSTALL_CODE] -d [DESTINATION DIRECTORY]分析文件,然后按 Enter 键。
提醒:[UNINSTALL_CODE]= VMware Carbon Black Cloud Endpoint 的删除代码- 有关移除代码的更多信息,请参阅 如何管理 VMware Carbon Black Cloud Endpoint 卸载代码。
[DESTINATION DIRECTORY]= 日志包的目标
- 填充sudo的密码,然后按Enter键。
- 请转至
[DESTINATION DIRECTORY],右键单击confer.zip,然后选择 重命名。 - 重命名
confer.zip设置为[MACHINENAME]_confer_dump.zip。提醒:[MACHINENAME]= 端点的完全限定域名
Linux
单击相应的客户端版本,以了解特定的安装步骤。有关更多信息 ,请参阅如何确定 VMware Carbon Black Cloud Endpoint 传感器版本。
- 登录到受影响的端点。
- 打开终端。
提醒:对于各种 Linux 发行版本,用户界面 (UI) 布局可能会有所不同。 - 在终端中,键入
su root分析文件,然后按 Enter 键。 - 填充以下项的密码:
root分析文件,然后按 Enter 键。
- 在终端中键入 ,
sudo /opt/carbonblack/psc/bin/collectdiags.sh分析文件,然后按 Enter 键。 - 从以下位置检索日志
/tmp。文件名的格式为diags_[HOSTNAME]_[EPOCH_TIME]_[RANDOM].tgz
- 登录到受影响的端点。
- 打开终端。
提醒:对于各种 Linux 发行版本,用户界面 (UI) 布局可能会有所不同。 - 在终端中,键入
su root分析文件,然后按 Enter 键。 - 填充以下项的密码:
root分析文件,然后按 Enter 键。
- 在终端中键入 ,
sudo tar cvf $(hostname –long)_$(date +"%Y-%b-%d_%H-%M-$S")_logs.tgz /var/opt/carbonblack/psc/log分析文件,然后按 Enter 键。 - 从以下位置检索日志
/var/opt/carbonblack/psc/log。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
其他信息
视频
受影响的产品
VMware Carbon Black文章属性
文章编号: 000125504
文章类型: How To
上次修改时间: 16 12月 2024
版本: 23
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。