▼
Scroll to page 2
of
23
ESET Log Collector Guide de l'utilisateur Cliquez ici pour consulter la version de l'aide en ligne de ce document Copyright ©2021 ESET, spol. s r.o. ESET Log Collector a été développé par ESET, spol. s r.o. Pour plus de détails, visitez www.eset.com. Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système d'archivage ou transmise sous quelque forme ou par quelque moyen que ce soit, y compris sous forme électronique, mécanique, photocopie, enregistrement, numérisation ou autre sans l'autorisation écrite de l'auteur. ESET, spol. s r.o. se réserve le droit de changer les applications décrites sans préavis. Assistance à la clientèle : www.eset.com/support RÉV. 2021-02-15 1 Introduction ................................................................................................................................................... 1 1.1 Aide ............................................................................................................................................................ 1 2 Interface utilisateur de ESET Log Collector ................................................................................ 2 2.1 Liste des artefacts / Fichiers collectés ............................................................................................... 15 3 Ligne de commande de ESET Log Collector ............................................................................. 15 3.1 Cibles disponibles .................................................................................................................................. 18 Introduction Le but de l'application ESET Log Collector est de collecter des données précises telles que la configuration et les journaux d'un ordinateur d'intérêt afin de faciliter une collecte des informations de l'ordinateur du client lors d'une résolution d'une demande d'assistance. Vous pouvez préciser les informations à collecter à partir de la liste des artefactsprédéfinie, l'âge maximum des journaux collectés, le format des journaux ESET collectés et le nom du fichier ZIP de sortie qui contiendra tous les fichiers et informations collectés. Si vous exécutez ESET Log Collector sur une machine sur laquelle aucun produit de sécurité ESET n'est installé, seuls les journaux d'événements Windows et les vidages des processus en cours d'exécution peuvent être collectés. REMARQUE ESET Log Collector possède les mêmes exigences en matière de systèmes que votre produit de sécurité ESET. ESET Log Collector fonctionne sur n'importe quelle version du système d'exploitation Microsoft Windows. ESET Log Collector collecte automatiquement les informations sélectionnées de votre système afin de permettre une résolution rapide des problèmes. Lorsque vous avez une demande d'assistance ouverte avec l'assistance technique d'ESET, il peut être nécessaire de fournir des journaux de votre ordinateur. ESET Log Collector vous aide à collecter facilement les informations nécessaires. ESET Log Collector contient toutes les langues dans un seul exécutable. Cela vous permet de changer de langue au démarrage sans avoir à télécharger la bonne version localisée. La langue à utiliser est soit détectée automatiquement, soit sélectionnée expressément. Il y a deux façons de spécifier la langue : 1. utiliser le commutateur de ligne de commande /lang:<language_code> 2. renommer le fichier en ESETLogCollector_<language_code>.exe Valeurs de codes linguistiques disponibles : ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR REMARQUE ESET Log Collector est distribué sous la forme d'une application à 32 bits. Pour assurer son fonctionnement complet sur un système à 64 bits, il contient un exécutable à 64 bits de ESET Log Collector intégré comme ressource, qui est extrait dans un répertoire Temp et exécuté lorsqu'un système 64 bits est détecté. Vous pouvez utiliser ESET Log Collector en deux modes : • Interface utilisateur graphique (IUG) • Interface de ligne de commande (ILC) (à partir de la version 1.8). Lorsqu'aucun paramètre de ligne de commande n'est spécifié, ESET Log Collector démarre en mode IUG. Les journaux du produit ESET sont collectés sous forme de fichiers binaires originaux ou de fichiers binaires filtrés (fichiers binaires filtrés par défaut) lorsque ESET Log Collector est utilisé à l'aide d'une interface graphique. Dans le cas d'une exportation binaire filtrée, vous pouvez sélectionner l'âge maximal des enregistrements exportés. Le nombre maximum d'enregistrements exportés est de 1 million par fichier journal. REMARQUE Une caractéristique supplémentaire de ESET Log Collector est la conversion des fichiers journaux binaires d'ESET collectés (.dat) au format de fichier XML ou texte. Cependant, vous pouvez convertir le journal binaire d'ESET collecté en utilisant uniquement l'interface de ligne de commande (ILC) de ESET Log Collector. Aide 1 Pour accéder à la dernière version de l'aide en ligne, appuyez sur la touche F1 ou cliquez sur le bouton ?. Interface utilisateur de ESET Log Collector Après avoir téléchargé ESET Log Collector sur le site Web d'ESET, lancez ESET Log Collector. Une fois que vous avez accepté le Contrat de licence d'utilisateur final (CLUF), ESET Log Collector s'ouvre. Si vous choisissez de ne pas accepter les termes du Contrat de licence d'utilisateur final (EULA), cliquez sur Annuler et ESET Log Collector ne s'ouvre pas. Vous pouvez choisir un Profil de collectee ou faire votre propre sélection d'artefact. Le profil de collecte est un ensemble défini d'artefacts : • Par défaut - Profil par défaut pour la plupart des artefacts sélectionnés. Il est utilisé pour des cas d'assistances génériques. (voir la section Liste des artefacts pour une liste détaillée des artefacts sélectionnés). • Détection de menace - Se chevauche avec le profil par défaut dans de nombreux artefacts, mais contrairement au profil par défaut, le profil de détection de menace se concentre sur la collecte d'artefacts qui aide à résoudre les cas d'assistances liées à la détection de logiciels malveillants. (voir la section Liste des artefacts pour une liste détaillée des artefacts sélectionnés). • Tout - Sélectionne tous les artefacts disponibles. 2 • Aucun - Désélectionne tous les artefacts et vous permet de sélectionner les cases à cocher appropriées pour les journaux que vous souhaitez collecter. • Personnalisée - Ce profil de collecte est sélectionné automatiquement lorsque vous modifiez le profil précédemment choisi et que votre combinaison actuelle d'artefacts sélectionnés ne correspond à aucun des profils mentionnés ci-dessus. REMARQUE La liste des artefacts affichés pouvant être collectés varie en fonction du type de produit de sécurité ESET détecté installé sur votre système, la configuration de votre système ainsi que d'autres logiciels tels que les applications Microsoft Server. Seuls les artefacts pertinents sont disponibles. Sélectionnez l'Âge limite des journaux [jours] et le mode de collecte des journaux ESET (l'option par défaut est Binaire filtré). Mode collecte de journaux d'ESET : • Binaire filtré - Les enregistrements sont filtrés d'après le nombre de jours spécifié par le paramètre Limite d'âge de Logs [jours], ce qui signifie que seuls les enregistrements pour les n derniers jours seront collectés. • Binaire d'origine provenant du disque - Copie les fichiers journaux binaires ESET en ignorant la valeur de limite d'âge [jours] des journaux ESET afin de collecter tous les enregistrements indépendamment de leur âge. Cependant, la limite d'âge s'applique toujours aux journaux non ESET, tels que les journaux d'événements Windows, les journaux Microsoft SharePoint ou les journaux IBM Domino. Vous pouvez préciser l'emplacement dans lequel enregistrer les fichiers d'archives, puis cliquer sur Enregistrer. Le nom de fichier d'archives est prédéterminé. Cliquez sur Rassembler. Il est possible d'interrompre le fonctionnement de l'application à tout moment pendant le traitement en appuyant sur le même bouton - la légende du bouton passe à Annuler pendant le traitement. Le succès ou l'échec est indiqué par un message contextuel. En cas d'échec, le journal contient des informations d'erreur supplémentaires. Pendant la collecte, vous pourrez voir les détails de l'opération, dans la fenêtre des journaux. Lorsque la collecte est terminée, toutes les données qui ont été collectées et archivées seront affichées. Cela signifie que la collecte a réussi et que le fichier d'archive (par exemple, emsx_logs.zip, ees_logs.zip ou eea_logs.zip) à été sauvegardé à l'emplacement spécifié. (Voir la section Liste des artefacts pour de l'information détaillée). Liste des artefacts / Fichiers collectés Cette section décrit les fichiers contenus dans le fichier .zip résultant. La description est divisée en sous-sections en fonction du type d'information (fichiers et artefacts). Nom du lieu / fichier Description metadata.txt Contient la date de création de l'archive .zip, la version de ESET Log Collector, la version du produit ESET et les renseignements de base de la licence. collector_log.txt Les données sont contenues dans une copie du fichier journal provenant de l'interface graphique jusqu'à ce que le fichier .zip soit créé. 3 Windows Processus Profil de collecte Nom de l'artéfact Par défaut Détection Nom du lieu / fichier de menace Processus en cours (descripteurs ouverts ou DLL chargés) ✓ ✓ Windows\Processes\Processes.txt Fichier texte contenant une liste de processus en cours sur la machine. Pour chaque processus, les éléments suivants sont imprimés : oPID oPID parent oNombre de fils oNombre de descripteurs ouverts regroupés par type oModules chargés oCompte utilisateur sous lequel il est exécuté oUtilisation de la mémoire oEstampille temporelle du début oHeure du noyau et de l'utilisateur oStatistiques d'E/S oLigne de commande Processus en cours (descripteurs ouverts ou DLL chargés) ✓ ✓ Windows\ProcessesTree.txt Description Fichier texte contenant une arborescence de processus en cours sur la machine. Pour chaque processus, les éléments suivants sont imprimés : oPID oCompte utilisateur sous lequel il est exécuté oEstampille temporelle du début oLigne de commande Journaux de Windows Profil de collecte Nom de l'artéfact Détection Nom du lieu / fichier de menace Description Journal ✓ d'événements de l'application ✓ Windows\Logs\Application.xml Journaux des événements de l'application Windows dans un format XML personnalisé. Seuls les messages des 30 derniers jours sont inclus. Journal ✓ d'événements du système ✓ Windows\Logs\System.xml Journaux des événements du système Windows dans un format XML personnalisé. Seuls les messages des 30 derniers jours sont inclus. Terminal ✓ services Journal des événements opérationnels LSM* ✓ Windows\Logs\LocalSessionManager-Operational.evtx Journal des événements Windows contenant des informations sur les sessions RDP. Journaux d'installation des pilotes ✓ ✗ Windows\Logs\catroot2_dberr.txt Contient des informations sur les catalogues qui ont été ajoutés à « Catstore » pendant l'installation du pilote. Journaux SetupAPI* ✓ ✗ Windows\Logs\SetupAPI\setupapi*.log Journaux texte de l'installation des périphériques et des applications. 4 Par défaut Journaux de Windows Journal des ✓ événements d'exploitation de l'activité WMI ✓ Windows\Logs\WMI-Activity.evtx Journal des événements Windows contenant les données de suivi d'activité WMI. Seuls les messages des 30 derniers jours sont inclus. Journal ✓ d'événements de l'application ✓ Windows\Logs\Application.evtx Fichier journal des événements de l'application Windows. Seuls les messages des 30 derniers jours sont inclus. Journal ✓ d'événements du système ✓ Windows\Logs\System.evtx Fichier journal des événements du système Windows. Seuls les messages des 30 derniers jours sont inclus. Windows\Services.reg Contient un contenu clé du registre de KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. La collecte de cette clé peut être utile en cas de problème avec les pilotes. Contenu de la clé de registre des services * Windows Vista et plus récent Configuration du système Profil de collecte Nom de l'artéfact Par défaut Détection Nom du lieu / fichier de menace Description Info lecteurs ✓ ✓ Windows\drives.txt Windows\volumes.txt Collecte de fichier texte contenant des informations sur les lecteurs de disque et les volumes. Renseignements sur ✓ l'appareil ✓ Windows/devices/*.txt Collecte de plusieurs fichiers texte contenant des informations sur les classes et les interfaces concernant les périphériques. Configuration du réseau ✓ ✓ Config\network.txt Collecte de fichiers textes contenant la configuration du réseau. (Résultat de l'exécution ipconfig /all) Journal SysInspector ✓ d'ESET ✓ Config\SysInspector.xml Journal de SysInspector au format XML. Catalogue Winsock LSP ✓ ✓ Config\WinsockLSP.txt Collecte la sortie de la commande netsh winsock show catalog. Filtres WFP* ✓ ✓ Config\WFPFilters.xml Collecte de la configuration des filtres WFP au format XML Contenu complet du ✗ registre Windows ✓ Windows\Registry\* Collecte de plusieurs fichiers binaires contenant des données du Registre Windows. Liste des fichiers dans les répertoires temporaires ✓ ✓ Windows\TmpDirs\*.txt Collecte de plusieurs fichiers texte avec le contenu des répertoires temporaires de l'utilisateur du système, %windir%/temp, %TEMP% et les répertoires %TMP% Tâches planifiées Windows ✗ ✓ Windows\Scheduled Tasks\*.* Collecte de plusieurs fichiers xml contenant toutes les tâches du planificateur de tâches Windows pour aider à détecter les logiciels malveillants qui exploitent le planificateur de tâches. Étant donné que les fichiers sont situés dans des sous-dossiers, toute la structure est collectée. 5 Configuration du système Espace de stockage WMI ✗ ✓ Windows\WMI Repository\*.* Collecte de plusieurs fichiers binaires contenant des données de base de données WMI (méta-informations, définition et données statiques des classes WMI). La collecte de ces fichiers peut aider à identifier les logiciels malveillants qui utilisent WMI pour la persistance (tels que Turla). Étant donné que les fichiers WMI peuvent être situés dans des sousdossiers, toute la structure est collectée. Rôles et fonctionnalités Windows Server ✓ ✗ Windows\server_features.txt Fichier texte contenant une arborescence de toutes les fonctionnalités de Windows Server. Chaque fonctionnalité contient les informations suivantes : oÉtat d'installation oNom localisé oNom de code oÉtat (disponible sur Microsoft Windows Server 2012 et plus récent) *Windows 7 et plus récent Programmes d'installation d'ESET Profil de collecte Nom de l'artéfact Par défaut Journaux des programmes ✓ d'installation d'ESET Détection Nom du lieu / fichier Description de menace ✗ ESET\Installer\*.log Journaux d'installation créés lors de l'installation des produits ESET NOD32 Antivirus, ESET Smart Security 10 Premium. Les journaux ESET Remote Administrator s'appliquent également à ESET Security Management Center. ESET Security Management Center (ESMC) et ESET Remote Administrator (ERA) Profil de collecte Nom de l'artéfact Journaux ESMC/ERA Server 6 Par défaut Détection Nom du lieu / fichier de menace Description ✓ ✗ Crée des journaux de produit serveur dans une archive ZIP. Il contient des enregistrements de trace, d'état et de dernière erreur. ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip ESET Security Management Center (ESMC) et ESET Remote Administrator (ERA) Journaux ESMC/ERA Agent ✓ ✗ ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip Crée des journaux de produit agent dans une archive ZIP. Il contient des enregistrements de trace, d'état et de dernière erreur. Informations ✗ et vidages de mémoire du processus ESMC/ERA* ✗ ERA\Server\Process and old dump\RemoteAdministratorServerDiagnostic<datetime>.zip Vidage de mémoire de processus serveur. Informations ✗ et vidages de mémoire du processus ESMC/ERA* ✗ ERA\Agent\Process and old dump\RemoteAdministratorAgentDiagnostic<datetime>.zip Vidage de mémoire de processus agent. Configuration ✓ ESMC/ERA ✗ ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip Configuration du serveur et fichiers d'informations sur l'application dans une archive ZIP. Configuration ✓ ESMC/ERA ✗ ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip Configuration de l'agent et fichiers d'informations sur l'application dans une archive ZIP. Journaux ESMC/ERA Rogue Detection Sensor ✓ ✗ ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip Un fichier ZIP contenant le journal de trace de RD Sensor, l'enregistrement de la dernière erreur, le journal d'état, la configuration, le ou les vidages de mémoire et les fichiers d'information générale. Journaux ESMC/ERA MDMCore ✓ ✗ ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip Un fichier ZIP contenant le journal de trace de MDMCore, l'enregistrement de la dernière erreur, le journal d'état, la configuration, le ou les vidages de mémoire et les fichiers d'information générale. 7 ESET Security Management Center (ESMC) et ESET Remote Administrator (ERA) Journaux ESMC/ERA Proxy ✓ ✗ ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip Un fichier ZIP contenant le journal de trace du mandataire ERA, l'enregistrement de la dernière erreur, le journal d'état, la configuration, le ou les vidages de mémoire et les fichiers d'information générale. Base de données ESMC/ERA Agent ✓ ✗ ERA\Agent\Database\data.db Fichier de base de données d'ESMC/ERA Agent. Configuration ✓ d’Apache Tomcat ✗ ERA\Apache\Tomcat\conf\*.* Fichiers de configuration d'Apache Tomcat : il contient une copie du fichier server.xml sans informations sensibles. Journaux d'Apache Tomcat ✓ ✗ ERA\Apache\Tomcat\logs\*.log ERA\Apache\Tomcat\EraAppData\logs\*.log ERA\Apache\Tomcat\EraAppData\WebConsole\*.log Journaux d'Apache Tomcat au format texte situés dans le répertoire d'installation ou d'application d'Apache Tomcat. Ils contiennent également les journaux de la console Web. Configuration ✓ du proxy HTTP Apache ✗ ERA\Apache\Proxy\conf\httpd.conf Fichier de configuration du mandataire HTTP Apache. Journaux du proxy HTTP Apache ✗ ERA\Apache\Proxy\logs\*.log Journaux du mandataire HTTP Apache au format texte. ✓ *ESMC/ERA Server ou ESMC/ERA Agent Configuration ESET Profil de collecte Nom de l'artéfact 8 Par défaut Détection Nom du lieu / fichier de menace Description Configuration ESET Configuration du produit ESET ✓ ✓ info.xml XML informatif contenant des détails sur le produit ESET installé sur un système. Il contient des informations système basiques, des informations sur les produits installés et une liste de modules de produits. Configuration du produit ESET ✓ ✓ versions.csv Depuis la version 4.0.3.0, le fichier est toujours inclus (sans aucune dépendance). Il contient les informations sur le produit installé. versions.csv doit exister dans le répertoire ESET AppData pour être inclus. Configuration du produit ESET ✓ ✓ features_state.txt Contient des informations sur les fonctions du produit ESET et leurs états (actif, inactif, non intégré). Le fichier est toujours collecté et n'est lié à aucun artefact sélectionnable. Configuration du produit ESET ✓ ✓ Configuration\product_conf.xml Crée un XML avec la configuration du produit exporté. Liste du fichier du répertoire de données et d'installation ESET ✓ ✓ ESET\Config\data_dir_list.txt Crée un fichier texte contenant une liste de fichiers dans le répertoire ESET AppData et tous ses sousrépertoires. Liste du fichier du répertoire de données et d'installation ESET ✓ ✓ ESET\Config\install_dir_list.txt Crée un fichier texte contenant une liste de fichiers dans le répertoire ESET Install et tous ses sousrépertoires. Pilotes ESET ✓ ✓ ESET\Config\drivers.txt Collecte des informations sur les pilotes ESET installés. Configuration du ✓ pare-feu personnel ESET ✓ ESET\Config\EpfwUser.dat Copie le fichier avec la configuration de pare-feu personnel ESET. Contenu de la clé de registre ESET ✓ ✓ ESET\Config\ESET.reg Contient un contenu clé du registre de HKLM\SOFTWARE\ESET Catalogue Winsock ✓ LSP ✓ Config/WinsockLSP.txt Collecte la sortie de la commande netsh winsock show catalog. Dernière politique appliquée ✓ ✓ ESET\Config\lastPolicy.dat La politique appliquée par ESMC/ERA. Composants ESET ✓ ✓ ESET\Config\msi_features.txt Informations collectées sur les composants d'installation MSI du produit ESET disponibles. Configuration de HIPS ✓ ✓ ESET\Config\HipsRules.bin Données des règles HIPS. Configuration des appareils domestiques ✓ ✓ ESET\Config\homenet.dat Données du réseau domestique. 9 Quarantaine Profil de collecte Nom de l'artéfact Par défaut Détection Nom du lieu / fichier de menace Renseignements sur les fichiers mis en quarantaine ✓ ✓ ESET\Quarantine\quar_info.txt Crée un fichier texte avec une liste d'objets mis en quarantaine. Petits fichiers en quarantaine (< 250 Ko) ✓ ✗ ESET\Quarantine\*.*(< 250KB) Fichiers mis en quarantaine de moins de 250 Ko. Fichiers volumineux en quarantaine (> 250 Ko) ✗ ✓ ESET\Quarantine\*.*(> 250KB) Fichiers mis en quarantaine de plus de 250 Ko. Description Journaux de ESET Profil de collecte Nom de l'artéfact Par défaut Détection Nom du lieu / fichier de menace Description Journal des ✓ événements d'ESET ✓ ESET\Logs\Common\warnlog.dat Journal d'événements du produit ESET au format binaire. Journal de menaces ✓ détectées d'ESET ✓ ESET\Logs\Common\virlog.dat Journal de menaces détectées ESET au format binaire. Journaux d'analyse d'ordinateurs d'ESET ✗ ✓ ESET\Logs\Common\eScan\*.dat Journal d'analyse de l'ordinateur d'ESET au format binaire. Journal HIPS d'ESET* ✓ ✓ ESET\Logs\Common\hipslog.dat Journal HIPS d'ESET au format binaire. Journaux de contrôle parental d'ESET ✓ ✓ ESET\Logs\Common\parentallog.dat Journal de contrôle parental d'ESET au format binaire. Journal de contrôle de périphérique d'ESET* ✓ ✓ ESET\Logs\Common\devctrllog.dat Journal de contrôle de périphérique d'ESET au format binaire. Journal de protection de Webcam d'ESET* ✓ ✓ ESET\Logs\Common\webcamlog.dat Journal de protection de Webcam d'ESET au format binaire. Journaux d'analyse ✓ de base de données de serveur à la demande d'ESET ✓ ESET\Logs\Common\ServerOnDemand\*.dat Journaux d'analyse de base de données de serveur à la demande d'ESET au format binaire. Journaux d'analyse du serveur ESET Hyper-V ✓ ✓ ESET\Logs\Common\HyperVOnDemand\*.dat Journaux du serveur ESET Hyper-V au format binaire. Journaux d'analyse de MS OneDrive ✓ ✓ ESET\Logs\Common\O365OnDemand\*.dat Journal d'analyse de MS OneDrive au format binaire. Journal des fichiers bloqués d'ESET ✓ ✓ ESET\Logs\Common\blocked.dat Journaux des fichiers bloqués d'ESET au format binaire. 10 Journaux de ESET Journal des fichiers envoyés d'ESET ✓ ✓ ESET\Logs\Common\sent.dat Journaux des fichiers envoyés d'ESET au format binaire. Journal de vérification ESET ✓ ✓ ESET\Logs\Common\audit.dat Journaux de vérification ESET au format binaire. *L'option est affichée uniquement lorsque le fichier existe. Journaux ESET Network Profil de collecte Nom de l'artéfact Par défaut Détection Nom du lieu / fichier de menace Description Journal de protection du réseau d'ESET* ✓ ✓ ESET\Logs\Net\epfwlog.dat Journal de protection du réseau d'ESET au format binaire. Journal de sites Web filtrés d'ESET* ✓ ✓ ESET\Logs\Net\urllog.dat Journal de sites Web filtrés d'ESET au format binaire. Journal de contrôle Web d'ESET* ✓ ✓ ESET\Logs\Net\webctllog.dat Journal de contrôle Web d'ESET au format binaire. Journaux pcap d'ESET ✓ ✗ ESET\Logs\Net\EsetProxy*.pcapng Copie des journaux pcap d'ESET. *L'option est affichée uniquement lorsque le fichier existe. Diagnostics ESET Profil de collecte Nom de l'artéfact Par défaut Détection Nom du lieu / fichier de menace Description Base de données du cache local ✗ ✓ ESET\Diagnostics\local.db Base de données de fichiers analysés d'ESET. Journaux des diagnostiques des produits généraux ✓ ✗ ESET\Diagnostics\*.* Fichiers (mini-vidages) du dossier de diagnostic d'ESET. Journaux de diagnostic ECP ✓ ✗ ESET\Diagnostics\ECP\*.xml Les journaux de diagnostic ESET Communication Protocol sont générés en cas de problèmes d'activation de produit et de communication avec les serveurs d'activation. ESET Secure Authentication Profil de collecte Nom de l'artéfact Par défaut 11 Détection Nom du lieu / fichier Description de menace ESET Secure Authentication Journaux ESA ✓ ✗ ESA\*.log Journaux exportés en provenance de ESET Secure Authentication. ESET Enterprise Inspector Profil de collecte Détection Nom du lieu / fichier de menace Description Journaux d'EEI Server ✓ ✗ EEI\Server\Logs\*.log Journaux de texte du produit Serveur. Journaux d'EEI Agent ✓ ✗ EEI\Agent\Logs\*.log Journaux de texte du produit Agent. Configuration d'EEI Server ✓ ✗ EEI\Server\eiserver.ini Un fichier .ini contenant la configuration du produit Serveur. Configuration d'EEI Agent ✓ ✗ EEI\Agent\eiagent.ini Un fichier .ini contenant la configuration du produit Agent. Politique d'EEI Server ✓ ✗ EEI\Server\eiserver.policy.ini Un fichier .ini contenant la politique du produit Serveur. Politique d'EEI Agent ✓ ✗ EEI\Agent\eiagent.policy.ini Un fichier .ini contenant la politique du produit Agent. Certificats d'EEI Server ✓ ✗ EEI\Server\Certificates\*.* Contient des fichiers de certification utilisés par le produit Serveur. Étant donné que les fichiers sont situés dans des sous-dossiers, toute la structure est collectée. Certificats d'EEI Agent ✓ ✗ EEI\Agent\Certificates\*.* Contient des fichiers de certification utilisés par le produit Agent. Étant donné que les fichiers sont situés dans des sous-dossiers, toute la structure est collectée. Images mémoire d'EEI Server ✓ ✗ EEI\Server\Diagnostics\*.* Fichiers de vidage du produit Serveur. Configuration du serveur MySQL ✓ ✗ EEI\My SQL\my.ini Un fichier .ini contenant la configuration du serveur MySQL utilisé par le produit EEI Server. Journaux du serveur MySQL ✓ ✗ EEI\My SQL\EEI.err Un journal de texte d'erreur de MySQL Server utilisé par le produit EEI Server. Nom de l'artéfact Par défaut ESET Full Disk Encryption Profil de collecte Nom de l'artéfact Par défaut Détection Nom du lieu / fichier Description de menace Journaux d'EFDE ✗ ✗ EFDE\AIS\Logs\*.* EFDE\Core\*.log Journaux exportés (AIS et Core) d'ESET Full Disk Encryption. Données de licence EFDE ✗ ✗ EFDE\AIS\Licesne\*.* Fichiers de données de licence d'EFDE. Configuration d'EFDE ✗ ✗ EFDE\AIS\lastpolicy.dat Contient la configuration d'EFDE. 12 Journaux pour courriel d'ESET (ESET Mail Security for Exchange, ESET Mail Security for Domino) Profil de collecte Nom de l'artéfact Par défaut Détection Nom du lieu / fichier de menace Description Journal de pourriel d'ESET ✓ ✗ ESET\Logs\Email\spamlog.dat Journal de pourriels d'ESET au format binaire. Journal de la liste grise d'ESET ✓ ✗ ESET\Logs\Email\greylistlog.dat Journal de la liste grise d'ESET au format binaire. Journal de protection SMTP d'ESET ✓ ✗ ESET\Logs\Email\smtpprot.dat Journal de protection SMTP d'ESET au format binaire. Journal de la ✓ protection du serveur de courriel d'ESET ✗ ESET\Logs\Email\mailserver.dat Journal de la protection du serveur de courriel d'ESET au format binaire. Journaux de traitement de courriels de diagnostic d'ESET ✓ ✗ ESET\Logs\Email\MailServer\*.dat Journaux de traitement de courriels de diagnostic d'ESET au format binaire, copie directe du disque. Journal de pourriel d'ESET* ✓ ✗ ESET\Logs\Email\spamlog.dat Journal de pourriels d'ESET au format binaire. Journaux de configuration et de diagnostic antipourriel d'ESET ✓ ✗ ESET\Logs\Email\Antispam\antispam.*.log Copie des journaux de ESET\Config\Antispam\*.* configuration et de diagnostic antipourriel d'ESET. *L'option est affichée uniquement lorsque le fichier existe. Journaux SharePoint d'ESET (ESET Security for SharePoint) Profil de collecte Nom de l'artéfact Par défaut Détection Nom du lieu / fichier de menace ESET SHPIO.log ✗ ✓ Description ESET\Log\ESHP\SHPIO.log Journal de diagnostic d'ESET provenant de l'utilitaire SHPIO.exe. Journaux propres au produit - Des options sont disponibles pour des produits précis. Domino (ESET Mail Security for Domino) Profil de collecte Nom de l'artéfact Par défaut Détection Nom du lieu / fichier de menace Description Journaux Domino IBM_TECHNICAL_SUPPORT et notes.ini ✓ ✗ LotusDomino\Log\notes.ini Fichier de configuration de IBM Domino. Journaux Domino IBM_TECHNICAL_SUPPORT et notes.ini ✓ ✗ LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.* Journaux d'IBM Domino de moins de 30 jours. 13 MS SharePoint (ESET Security for SharePoint) Profil de collecte Nom de Détection Nom du lieu / fichier l'artéfact Par de défaut menace Description Journaux ✓ MS SharePoint ✗ SharePoint\Logs\*.log Journaux MS SharePoint de moins de 30 jours. Contenu ✓ de la clé de registre SharePoint ✗ SharePoint\WebServerExt.reg Contenu de clé de registre de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions. Disponible uniquement lorsque ESET Security for SharePoint est installé. MS Exchange (ESET Mail Security for Exchange) Profil de collecte Nom de l'artéfact Par défaut Détection Nom du lieu / fichier de menace Description Inscription des agents ✓ de transport de MS Exchange ✗ Exchange\agents.config Fichier de configuration de l'inscription des agents de transport de MS Exchange. Pour Microsoft Exchange Server 2007 et plus récent. Inscription des agents ✓ de transport de MS Exchange ✗ Exchange\sinks_list.txt L'évènement MS Exchange évacue le vidage d'enregistrement. Pour Microsoft Exchange Server 2000 et 2003. Journaux MS Exchange ✓ EWS ✗ Exchange\EWS\*.log Collecte des journaux du serveur Exchange EWS. Kerio Connect (ESET Security for Kerio) Profil de collecte Nom de l'artéfact Par défaut Détection Nom du lieu / fichier de menace Description ✓ ✗ Kerio\Connect\mailserver.cfg Fichier de configuration de Kerio Connect. Journaux de ✓ Kerio Connect ✗ Kerio\Connect\Logs\{mail,error,security,debug,warning}.log Fichiers journaux Kerio Connect sélectionnés. Configuration de Kerio Connect 14 Kerio Control (ESET Security for Kerio) Profil de collecte Nom de l'artéfact Par défaut Détection Nom du lieu / fichier de menace Description Configuration de Kerio Control ✓ ✗ Kerio\Connect\winroute.cfg Fichier de configuration de Kerio Control. Journaux de Kerio Control ✓ ✗ Kerio\Connect\Logs\{alert,error,security,debug,warning}.log Fichiers journaux Kerio Control sélectionnés. Ligne de commande de ESET Log Collector L'interface de ligne de commande est une fonctionnalité qui vous permet d'utiliser ESET Log Collector sans l'interface graphique. Elle peut être utilisée sur l'installation de Server Core ou de Nano Server ou aussi si vous avez besoin ou souhaitez simplement utiliser la ligne de commande à la place de l'IUG. Il existe également une fonction supplémentaire uniquement accessible par ligne de commande qui convertit le fichier journal binaire d'ESET au format XML ou en un fichier texte. Aide pour ligne de commande - Lancez start /wait ESETLogCollector.exe /? pour afficher l'aide pour la syntaxe. Elle donne également la liste des cibles disponibles (artéfacts) qui peuvent être collectées. Le contenu de la liste dépend du type de produit de sécurité ESET détecté et installé sur le système sur lequel vous exécutez ESET Log Collector. Seuls les artefacts pertinents sont disponibles. REMARQUE Il est recommandé d'utiliser le préfixe start /wait lors de l'exécution de n'importe quelle commande parce que ESET Log Collector est principalement un outil IUG et l'interpréteur de ligne de commande Windows (shell) n'attend pas que l'exécutable se termine; il renvoie immédiatement et affiche une nouvelle invite. Lorsque vous utilisez le préfixe start /wait, vous forcez le shell Windows à attendre la fin de ESET Log Collector. Si vous exécutez ESET Log Collector pour la première fois, ESET Log Collector requiert l'acceptation du contrat de licence d'utilisateur final (CLUF). Pour accepter le CLUF, exécutez la toute première commande avec le paramètre /accepteula. Toutes les commandes suivantes seront exécutées sans que le paramètre /accepteula ne soit nécessaire. Si vous choisissez de ne pas accepter les termes du contrat de licence d'utilisateur final (CLUF) et de ne pas utiliser le paramètre /accepteula, votre commande ne sera pas exécutée. En outre, le paramètre /accepteula doit être spécifié en tant que premier paramètre, par exemple : start /wait ESETLogCollector.exe /accepteula /age:90 /otype:fbin /targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip Utilisation : [start /wait] ESETLogCollector.exe [options] <out_zip_file> - Collecte les journaux en fonction des options spécifiées et crée un fichier d'archive de sortie au format ZIP. [start /wait] ESETLogCollector.exe /Bin2XML [/All] <eset_binary_log> <output_xml_file> - Convertit le fichier binaire ESET collecté (.dat) en un fichier XML. [start /wait] ESETLogCollector.exe /Bin2Txt [/All] <eset_binary_log> <output_txt_file> - Convertit le fichier binaire ESET collecté (.dat) en un fichier texte. Options : /Age:<days> - Âge maximum des enregistrements de journaux collectés en jours. La plage de valeur est de 0 à 9999, 0 signifie infinie, la valeur par défaut est 30. 15 /OType:<xml|fbin|obin> - Format de collecte des journaux ESET : xml - XML filtrés fbin - Binaire filtré (par défaut) obin - Binaire d'origine provenant du disque /All - Traduit également les enregistrements marqués comme supprimés. Ce paramètre n'est applicable que lors de la conversion du fichier journal binaire d'ESET collecté au format XML ou TXT. /Targets:<id1>[,<id2>...] - Liste des artefacts à collecter. Si rien n'est précisé, un ensemble par défaut est collecté. La valeur spéciale « Tous » désigne toutes les cibles. /NoTargets:<id1>[,<id2>...] - Liste des artefacts à ignorer. Cette liste est appliquée à la liste des cibles. /Profile:<default|threat|all> - Le profil de collecte est un ensemble défini de cibles : Default - Profil utilisé pour les cas d'assistance généraux Threat - Profil lié aux cas de détection de menaces All - Sélectionne toutes les cibles disponibles REMARQUE Lorsque vous choisissez les formats de collecte XML filtré ou Binaire filtré, le filtrage indique que seuls les enregistrements pour les n derniers jours seront collectés (spécifié par le paramètre /Age:<days>). Si vous choisissez Binaire d'origine provenant du disque, le paramètre /Age:<days> sera ignoré pour tous les journaux ESET. Pour les autres journaux, tels que les journaux d'événements Windows, les journaux Microsoft SharePoint ou les journaux IBM Domino, le paramètre /Age:<days> sera appliqué afin que vous puissiez limiter les enregistrements de journaux non ESET à un nombre de jours spécifié et que les fichiers binaires ESET originaux soient collectés (copiés) sans limite d'âge. REMARQUE Le paramètre /All permet la conversion de tous les enregistrements de journal, y compris ceux qui ont été supprimés à l'aide d'une interface graphique, mais sont présents dans le fichier binaire original marqué comme supprimé (les enregistrements de journal qui ne sont pas visibles dans l'interface graphique). 16 EXEMPLE Cet exemple de commande change la langue en italien. Vous pouvez utiliser n'importe laquelle des langues disponibles : ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR /lang: ITA 17 EXEMPLE Cette commande, par exemple, collecte la configuration du produit ESET, les informations sur les fichiers en quarantaine, le journal des événements ESET, le journal des menaces détectées par ESET et les journaux d'analyse d'ordinateur ESET dans le mode de collecte binaire filtré pour les enregistrements des 90 derniers jours : start /wait ESETLogCollector.exe /age:90 /otype:fbin /targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip EXEMPLE Cette commande, par exemple, collecte les processus en cours, le journal des événements du système, le journal ESET SysInspector, la configuration du produit ESET, le journal des événements ESET et les journaux de diagnostic généraux du produit dans le mode Binaire original provenant du disque : start /wait ESETLogCollector.exe /otype:obin /targets:proc,evlogsys,sysin,prodcnf,warn,diag collected_diag_logs.zip EXEMPLE Cette commande, par exemple, collecte les journaux de l'agent ERA, les journaux du serveur ERA, la configuration d'ERA et les journaux d'ERA Rogue Detection Sensor dans le mode de collecte XML filtré pour les enregistrements des 10 derniers jours : start /wait ESETLogCollector.exe /age:10 /otype:xml /targets:eraag,erasrv,eraconf,erard collected_era_logs.zip EXEMPLE Cette commande, par exemple, convertit le fichier journal binaire collecté d'ESET (journal d'analyse de l'ordinateur) en un format de fichier XML avec tous les enregistrements (y compris les journaux marqués comme supprimés): start /wait ESETLogCollector.exe /bin2xml /all C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.xmlConvertit aussi le fichier journal d'analyse de l'ordinateur collecté en un fichier texte, mais en omettant les journaux marqués comme supprimés : start /wait ESETLogCollector.exe /bin2txt C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.txt Cibles disponibles La liste ci-dessous est une liste complète de toutes les cibles possibles qui peuvent être collectées en utilisant la ligne de commande ESET Log Collector à l'option /Targets:. REMARQUE Il est possible que toutes les cibles ne soient pas énumérées ici. C'est parce que les cibles disponibles pour votre système ne sont répertoriées que lorsque vous exécutez l'aide de ligne de commande start /wait ESETLogCollector.exe /?. Les cibles non répertoriées ne s'appliquent pas à votre système ou à votre configuration. Proc Processus en cours d'exécution (descripteurs ouverts ou DLL chargés) Drives Info lecteurs Devices Renseignements sur l'appareil SvcsReg Contenu de la clé de registre des services EvLogApp Journal d'événements de l'application EvLogSys Journal d'événements du système SetupAPI Journaux SetupAPI EvLogLSM Terminal services - Journal des événements opérationnels LSM EvLogWMI Log d'évènement opérationnel de l'activité WMI SysIn Journal SysInspector d'ESET DrvLog Journaux d'installation des pilotes NetCnf Configuration du réseau WFPFil Filtres WFP 18 InstLog Journaux des programmes d'installation d'ESET EfdeLogs Journaux d'EFDE EfdeLic Données de licence EFDE EfdeCfg Configuration d'EFDE EraAgLogs Journaux ERA Agent EraSrv Journaux ERA Server EraConf Configuration ERA EraDumps Informations et vidages de mémoire du processus ERA EraRD Journaux ESET Rogue Detection Sensor EraMDM Journaux ERA MDMCore EraProx Journaux ERA Proxy EraTomcatCfg Configuration d’Apache Tomcat EraTomcatLogs Journaux d'Apache Tomcat EraProxyCfg Configuration du proxy HTTP Apache EraProxyLogs Journaux du proxy HTTP Apache EsaLogs Journaux ESA ProdCnf Configuration du produit ESET DirList Liste du fichier du répertoire de données et d'installation ESET Drivers Pilotes ESET EsetReg Contenu de la clé de registre ESET EsetCmpts Composants ESET QInfo Renseignements sur les fichiers mis en quarantaine QFiles Fichiers en quarantaine QSmallFiles Petits fichiers en quarantaine QBigFiles Fichiers volumineux en quarantaine Warn Journal des événements d'ESET Threat Journal de menaces détectées d'ESET OnDem Journaux d'analyse d'ordinateurs d'ESET Hips Journal HIPS d'ESET Fw Journal de protection du réseau d'ESET FwCnf Configuration du pare-feu personnel ESET Web Journal de sites Web filtrés d'ESET Paren Journaux de contrôle parental d'ESET Dev Journal de contrôle de périphérique d'ESET WCam Journal de protection de Webcam d'ESET WebCtl Journal de contrôle Web d'ESET OnDemDB Journaux d'analyse de base de données de serveur à la demande d'ESET HyperV Journaux d'analyse du serveur ESET Hyper-V Spam Journal de pourriel d'ESET Grey Journal de la liste grise d'ESET SMTPProt Journal de protection SMTP d'ESET Email Journal de la protection du serveur de courriel d'ESET 19 EmDiag Journaux de traitement de courriels de diagnostic d'ESET ScanCache Base de données du cache local SpamDiag Journaux de configuration et de diagnostic antipourriel d'ESET Diag Journaux des diagnostiques des produits généraux ECPDiag Journaux de diagnostic ECP pcap Journaux pcap d'ESET XAg Inscription des agents de transport de MS Exchange XEws Journaux MS Exchange EWS Domino Journaux Domino IBM_TECHNICAL_SUPPORT et notes.ini SHPIO ESET SHPIO.log SP Journaux MS SharePoint SHPReg Contenu de la clé de registre SharePoint KConnCnf Configuration de Kerio Connect KConn Journaux de Kerio Connect KCtrlCnf Configuration de Kerio Control KCtrl Journaux de Kerio Control AllReg Contenu complet du registre Windows WinsockCat Catalogue Winsock LSP TmpList Liste des fichiers dans les répertoires temporaires SchedTaks Tâches planifiées Windows Wmirepo Espace de stockage WMI WinSrvFeat Rôles et caractéristiques des serveurs Windows LastPol Dernière politique appliquée BlkF Journal des fichiers bloqués d'ESET SentF Journal des fichiers envoyés d'ESET OneDrive Journaux d'analyse de MS OneDrive Audit Journaux de vérification ESET HipsCfg Configuration de HIPS HomeNetCfg Configuration des appareils domestiques <%STR_EULA%> 20