如何使用实时响应功能收集 VMware Carbon Black Endpoint 传感器日志

摘要: 可以按照这些说明使用实时响应功能远程收集 VMware Carbon Black Endpoint 传感器日志。

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

如何使用 VMware Carbon Black Cloud Console 中的 Live Response 功能远程收集 VMware Carbon Black Endpoint 和 Carbon Black Defense 日志。

受影响的产品:

  • VMware Carbon Black Endpoint

受影响的版本:

  • v3.4 及更高版本

受影响的操作系统:

  • Windows

原因

不适用

解析度

VMware Carbon Black Cloud 的实时响应功能是一种从 Microsoft Windows 端点远程收集传感器日志的方法,可为故障处理提供支持。

确保为端点启用实时响应策略。默认设置为已禁用。

要使用 Live Response 收集日志,管理员必须先 启用策略运行实时响应,然后 再下载日志。单击相应的操作以了解更多信息。

提醒:本文重点介绍如何使用实时响应功能收集日志。有关如何为所有操作系统手动收集日志的更多信息,请参阅如何收集 VMware Carbon Black Cloud Endpoint 传感器的日志(英文版)。

启用策略

要验证策略是否已启用,请执行以下操作:

  1. 在网页浏览器中,转至 [REGION].conferdeploy.net。
提醒:[REGION] = 租户的区域
  1. 登录到 VMware Carbon Black Cloud。

VMware Carbon Black Cloud 登录

  1. 在左侧菜单窗格中,单击 Enforce

强制执行

  1. 单击 Policies

策略

  1. 选择某个策略。

策略选择

  1. 单击 Sensor 选项卡,并验证 Enable Live Response 是否已选中。

启用实时响应功能

运行实时响应

运行实时响应功能的效果会因 VMware Carbon Black Cloud Endpoint Sensor 的版本而异。单击相应的版本以了解更多信息。

提醒:有关确定版本的更多信息,请参阅如何确定 VMware Carbon Black Cloud Endpoint Sensor 的版本(英文版)。

要将 Live Response 与版本 3.6 及更高版本配合使用,请执行以下操作:

  1. 在左侧菜单窗格中,单击 Endpoints

端点

  1. 在“All Sensors”用户界面 (UI) 中:
    1. 找到相应的设备名称
    2. 单击 Actions 下的下拉框。
    3. 单击 Live Response

“All Sensors”用户界面

  1. Live Response 功能连接后,键入 cd c:\program files\confer,然后按 Enter 键。

更改 Live Response 中的目录

  1. 键入 execfg cmd /c repcli capture “[PATH]”,然后按 Enter 键。这将运行 RepCLI 实用程序以捕获日志记录。

捕获 Live Response 中的日志记录

提醒:[PATH] = 日志目标文件夹的绝对路径

捕获完成后,提示符指示捕获的日志被放置在具有文件名的指定目标文件夹中 psc_sensor.zip

提醒:这可能需要几分钟时间,具体取决于捕获日志的端点和接收文件的设备的网络带宽。

要将 Live Response 与版本 3.4 到 3.5 配合使用,请执行以下操作:

  1. 在左侧菜单窗格中,单击 Endpoints

端点

  1. 在 All Esensors 用户界面 (UI) 中:
    1. 找到相应的设备名称
    2. 单击 Actions 下的下拉框。
    3. 单击 Live Response

“All Sensors”用户界面

  1. Live Response 功能连接后,键入 cd c:\program files\confer,然后按 Enter 键。

更改 Live Response 中的目录

  1. 键入 execfg repcli capture,然后按 Enter 键。这将运行 RepCLI 实用程序以捕获日志记录。

捕获 Live Response 中的日志记录

捕获完成后,会出现提示,指示捕获的日志被放置在 C:\Windows\Temp\cb-temp 中,文件名为 psc_sensor.zip

提醒:这可能需要几分钟时间,具体取决于捕获日志的端点和接收文件的设备的网络带宽。

下载日志

要下载日志,请执行以下操作:

  1. 键入 cd C:\Windows\Temp\cb-temp,然后按 Enter 键。
提醒:如果仅需要 confer.log,则可以通过浏览至 C:\Program Files\Confer、键入 get confer.log,然后按 Enter 键进行直接收集。
  1. 键入 get psc_sensor.zip,然后按 Enter 键。

使用实时响应功能获取文件

  1. 文件将下载到您的本地计算机,并使用字母数字文件名。将文件重命名以添加 .zip 扩展名。
提醒:
  • 字母数字文件名示例:36355d97-18f4-416e-be8f-473bda7c30fb
  • 重命名的文件名示例:SensorCapture.zip

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

其他資訊

 

影片

 

受影響的產品

VMware Carbon Black
文章屬性
文章編號: 000175263
文章類型: Solution
上次修改時間: 01 8月 2025
版本:  19
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。