如何使用 Live Response 收集 VMware Carbon Black Endpoint 感應器記錄

摘要: 瞭解如何依照下列指示,使用 Windows 上的 Live Response 遠端收集 VMware Carbon Black Endpoint 感應器記錄。

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

說明

瞭解如何在 VMware Carbon Black Cloud Console 主控台中使用 Live Response 功能,遠端收集 VMware Carbon Black Endpoint 和 Carbon Black Defense 記錄的指示。

受影響的產品:

  • VMware Carbon Black Endpoint

受影響的版本:

  • v3.4 及更新版本

受影響的作業系統:

  • Windows

VMware Carbon Black Cloud 的 Live Response 功能是一種從 Microsoft Windows 端點遠端收集感應器記錄的方法,可提供進行故障診斷的支援。

請確定已啟用端點的 Live Response 原則。預設設定為 停用

若要使用 Live Response 收集記錄,系統管理員必須先啟用原則執行 Live Response,然後下載記錄。如需詳細資訊,請按一下適當的動作。

注意:本文著重說明如何使用 Live Response 功能收集記錄。如需如何為所有作業系統手動收集記錄的詳細資訊,請參閱如何收集 VMware Carbon Black Cloud Endpoint 感應器的記錄

啟用原則

  1. 在網頁瀏覽器中,前往 <REGION.conferdeploy.net>。
    注意:<區域> = 租戶的區域
  2. 登入 VMware Carbon Black Cloud。
    VMware Carbon Black Cloud 登入
  3. 在左側功能表窗格中,按一下強制執行
    強制執行
  4. 按一下原則
    原則
  5. 選取原則。
    選取原則
  6. 按一下 感應器 標籤,並確認已選取 啟用 Live Response
    啟用 Live Response

執行 Live Response

執行 Live Response 會因 VMware Carbon Black Cloud Endpoint 感應器是執行 v3.6 及更新版本v3.4 至 3.5 而有所不同。如需詳細資訊,請按一下適當的版本。

注意:如需識別版本的詳細資訊,請參閱如何識別 VMware Carbon Black Cloud Endpoint 感應器版本

v3.6 及更新版本

  1. 在左側功能表窗格中,按一下端點
    端點
  2. 在所有感應器的使用者介面 (UI) 中:
    1. 尋找適當的裝置名稱
    2. 按一下動作底下的下拉式方塊。
    3. 按一下 Live Response
    所有感應器使用者介面
  3. 在 Live Response 連線後,輸入 cd c:\program files\confer 然後按下 Enter 鍵。
    變更 Live Response 中的目錄
  4. 在命令前頭輸入 execfg cmd /c repcli capture "<PATH>" 然後按下 Enter 鍵。這會執行 RepCLI Utility,以擷取記錄。
    擷取 Live Response 中的記錄
    注意: <PATH> = 紀錄目標資料夾的絕對路徑
  5. 擷取完成後,會出現提示,指出擷取的記錄已放置在指定的目標資料夾中,檔案名稱為 psc_sensor.zip
    注意:這可能需要幾分鐘時間,具體取決於擷取記錄的端點和接收檔案的裝置的網路頻寬。

v3.4 至 3.5

  1. 在左側功能表窗格中,按一下端點
    端點
  2. 在所有電子感應器使用者介面 (UI) 中:
    1. 尋找適當的裝置名稱
    2. 按一下動作底下的下拉式方塊。
    3. 按一下 Live Response
    所有感應器使用者介面
  3. 在 Live Response 連線後,輸入 cd c:\program files\confer 然後按下 Enter 鍵。
    變更 Live Response 中的目錄
  4. 在命令前頭輸入 execfg repcli capture 然後按下 Enter 鍵。這會執行 RepCLI Utility,以擷取記錄。
    擷取 Live Response 中的記錄
  5. 擷取完成後會出現提示,指出擷取的記錄已放入 C:\Windows\Temp\cb-temp 檔案名稱為 psc_sensor.zip
    注意:這可能需要幾分鐘時間,具體取決於擷取記錄的端點和接收檔案的裝置的網路頻寬。

下載記錄

  1. 在命令前頭輸入 cd C:\Windows\Temp\cb-temp 然後按下 Enter 鍵。
    注意:如果只有 confer.log 是必需的,可以通過流覽直接收集 C:\Program Files\Confer,鍵入 get confer.log,然後按 Enter 鍵。
  2. 在命令前頭輸入 get psc_sensor.zip 然後按下 Enter 鍵。
    使用 Live Response 取得檔案
  3. 檔案會使用英數字元的檔名下載到您的本機電腦。將檔案重新命名以加入 .zip 副檔名。
    注意:
    • 英數字元的檔名範例: 36355d97-18f4-416e-be8f-473bda7c30fb
    • 重新命名的檔名範例: SensorCapture.zip

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

其他資訊

  

影片

  

受影響的產品

VMware Carbon Black
文章屬性
文章編號: 000175263
文章類型: How To
上次修改時間: 05 5月 2026
版本:  20
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。