▼
Scroll to page 2
of
24
ESET Log Collector Guide de l'utilisateur Cliquez ici pour afficher la version de l'aide en ligne de ce document Copyright © 2021 par ESET, spol. s r.o. ESET Log Collector a été développé par ESET, spol. s r.o. Pour plus d'informations, visitez www.eset.com. Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système d'archivage ou transmise sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement, numérisation ou autre sans l'autorisation écrite de l'auteur. ESET, spol. s r.o. se réserve le droit de modifier les applications décrites sans préavis. Service client : www.eset.com/support RÉV. 15/02/2021 1 Introduction ................................................................................................................................................... 1 1.1 Aide ............................................................................................................................................................ 2 2 Interface utilisateur ESET Log Collector ....................................................................................... 2 2.1 Liste des artefacts/fichiers collectés .................................................................................................. 15 3 Ligne de commande ESET Log Collector .................................................................................... 15 3.1 Cibles disponibles .................................................................................................................................. 19 Introduction Le but de l'application ESET Log Collector est de collecter des données spécifiques telles que la configuration et les journaux d'un ordinateur en particulier pour faciliter la collecte d'informations de l'ordinateur du client pendant la résolution d'un incident technique. Vous pouvez indiquer les informations à collecter à partir de la liste des artefacts prédéfinie, l'âge maximal des entrées de journal collectées, le format des journaux ESET collectés et le nom du fichier ZIP de sortie qui contiendra tous les fichiers et les informations collectés. Si vous exécutez ESET Log Collector sur un ordinateur sur lequel un produit de sécurité ESET n'est pas installé, seuls les journaux des événements Windows et les fichiers d’image mémoire des processus en cours peuvent être collectés. REMARQUE La configuration système requise pour ESET Log Collector est la même que pour votre produit de sécurité ESET. ESET Log Collector s’exécute sur n’importe quelle version du système d’exploitation Microsoft Windows. ESET Log Collector collecte automatiquement les informations sélectionnées de votre système afin de vous aider à résoudre plus rapidement les problèmes. Lorsque vous signalez un problème auprès de l'assistance technique d'ESET, il se peut que vous deviez fournir les journaux de votre ordinateur. ESET Log Collector facilite la collecte des informations nécessaires. ESET Log Collector contient toutes les langues dans un seul exécutable. Vous pouvez ainsi changer de langue selon les besoins au démarrage sans avoir à télécharger la bonne version localisée. La langue à utiliser est détectée automatiquement ou peut être sélectionnée explicitement. Il existe deux façons de spécifier explicitement la langue : 1. Utilisez le commutateur de ligne de commande /lang:<language_code> 2. Renommez le fichier en ESETLogCollector_<language_code>.exe Valeurs disponibles des codes de langue : ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR REMARQUE ESET Log Collector est distribué sous la forme d'une application 32 bits. Pour être totalement opérationnel sur un système 64 bits, cet outil contient un exécutable 64 bits d'ESET Log Collector incorporé en tant que ressource, qui est extrait dans un répertoire Temp et exécuté lorsqu'un système 64 bits est détecté. Vous pouvez utiliser ESET Log Collector dans les deux modes suivants : • Interface utilisateur graphique (GUI) • Interface de ligne de commande (CLI) (depuis la version 1.8). Lorsqu'aucun paramètre de ligne de commande n'est défini, ESET Log Collector démarre en mode GUI. Les journaux du produit ESET sont collectés en tant que fichiers binaires d'origine ou fichiers binaires filtrés (valeur par défaut) lorsqu'ESET Log Collector est utilisé avec une interface utilisateur graphique. Dans le cas d'une exportation de binaires filtrés, vous pouvez sélectionner l'âge maximal des entrées exportées. Le nombre maximal d'entrées exportées est de 1 million par fichier journal. REMARQUE ESET Log Collector Contient une fonctionnalité supplémentaire qui permet de convertir les fichiers journaux binaires ESET collectés (.dat) au format XML ou de fichier texte. Vous ne pouvez toutefois convertir un journal binaire ESET collecté qu'à l'aide de l'interface de ligne de commande (CLI) ESET Log Collector. 1 Aide Pour accéder à la version la plus récente de l'aide en ligne, appuyez sur la touche F1 ou cliquez sur le bouton ?. Interface utilisateur ESET Log Collector Une fois ESET Log Collector téléchargé à partir du site Web ESET, lancez l'application. Après avoir accepté les termes du contrat de licence de l'utilisateur final (CLUF), ESET Log Collector s'ouvre. Si vous ne voulez pas accepter ces termes, cliquez sur Annuler. ESET Log Collector ne s'ouvrira pas. Vous pouvez sélectionner un profil de collecte ou effectuer votre propre sélection d'artefacts. Un profil de collecte est un ensemble défini d'artefacts : • Par défaut : profil par défaut avec le plus grand nombre d'artefacts sélectionnés. Il est utilisé pour les incidents techniques génériques (pour obtenir la liste détaillée des artefacts sélectionnés, voir la section Liste des artefacts). • Détection de menace : recoupe le profil par défaut dans de nombreux artefacts. Toutefois, contrairement au profil par défaut, la détection de menace est axée sur la collecte d'artefacts qui permet la résolution des incidents techniques relatifs à la détection de logiciels malveillants (pour obtenir la liste détaillée des artefacts sélectionnés, voir la section Liste des artefacts). 2 • Tout : sélectionne tous les artefacts disponibles. • Aucun : désélectionne tous les artefacts et permet d'activer les cases à cocher adéquates pour les journaux que vous souhaitez collecter. • Personnalisé : ce profil de collecte est sélectionné automatiquement lorsque vous apportez une modification à un profil précédemment sélectionné et que la combinaison actuelle des artefacts sélectionnés ne correspond à aucun des profils présentés ci-dessus. REMARQUE La liste des artefacts affichés pouvant être collectés change en fonction du type de produit de sécurité ESET détecté installé sur le système, de la configuration système et d'autres logiciels comme les applications Microsoft Server. Seuls les artefacts pertinents sont disponibles. Sélectionnez la limite d'âge des journaux [jours] et le mode de collecte des journaux ESET (l'option par défaut est Binaire filtré). Mode de collecte des journaux ESET : • Binaire filtré : les entrées sont filtrées selon le nombre de jours spécifié par l'option Limite d'âge des journaux [jours], ce qui signifie que seules les entrées des derniers jours seront collectées. • Binaire d'origine du disque : copie les fichiers journaux binaires ESET en ignorant la valeur Limite d'âge des journaux [jours] pour les journaux ESET afin de collecter toutes les entrées indépendamment de leur âge. La limite d'âge s'applique toutefois aux journaux autres qu'ESET comme les journaux des événements Windows, les journaux Microsoft SharePoint et les journaux IBM Domino. Vous pouvez indiquer l'emplacement où enregistrer les fichiers d'archive, puis cliquer sur Enregistrer. Le nom du fichier d'archive est déjà prédéfini. Cliquez sur Collecter. L'opération de l'application peut être interrompue à tout moment pendant le traitement en appuyant sur le même bouton. L'image du bouton change en Annuler pendant le traitement. La réussite ou l'échec de l'opération est indiqué dans un message contextuel. En cas d'échec, le panneau des journaux contient des informations supplémentaires sur l'erreur. Pendant la collecte, la fenêtre d'opération sur les journaux s'affiche dans la partie inférieure pour que vous puissiez déterminer quelle opération est en cours. Une fois la collecte terminée, toutes les données collectées et archivées sont affichées. Cela signifie que la collecte a été correctement effectuée et que le fichier d'archive (par exemple, emsx_logs.zip, ees_logs.zip ou eea_logs.zip) a été enregistré à l'emplacement spécifié. (pour des informations détaillées, voir la section Liste des artefacts). Liste des artefacts/fichiers collectés Cette section décrit les fichiers contenus dans le fichier .zip obtenu. Les descriptions sont divisées en sous-sections selon le type d'informations (fichiers et artefacts). Emplacement/nom du fichier Description metadata.txt Contient la date de création de l'archive .zip, la version d'ESET Log Collector, la version du produit ESET et des informations de base sur les licences. collector_log.txt Copie du fichier journal à partir de l'interface utilisateur graphique. Il contient des données jusqu'au moment de la création du fichier .zip. 3 Processus Windows Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier de menaces Description Processus en ✓ cours (handles ouverts et DLL chargées) ✓ Windows\Processes\Processes.txt Fichier texte contenant la liste des processus en cours sur l'ordinateur. Pour chaque processus, les éléments suivants sont indiqués : oPID oPID parent oNombre de threads oNombre de handles ouverts regroupés par type oModules chargés oCompte utilisateur sous lequel le processus est exécuté oUtilisation de la mémoire oHorodatage du démarrage oDurée noyau et utilisateur oStatistiques d'E/S oLigne de commande Processus en ✓ cours (handles ouverts et DLL chargées) ✓ Windows\ProcessesTree.txt Fichier texte contenant l'arborescence des processus en cours sur l'ordinateur. Pour chaque processus, les éléments suivants sont indiqués : oPID oCompte utilisateur sous lequel le processus est exécuté oHorodatage du démarrage oLigne de commande Journaux Windows Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier de menaces Description Journal des événements de l'application ✓ ✓ Windows\Logs\Application.xml Journaux des événements de l'application Windows dans un format XML personnalisé. Seuls les messages des derniers 30 jours sont inclus. Journal des événements système ✓ ✓ Windows\Logs\System.xml Journaux des événements système Windows dans un format XML personnalisé. Seuls les messages des derniers 30 jours sont inclus. Services ✓ Terminal Server Journal des événements opérationnels LSM* ✓ Windows\Logs\LocalSessionManager-Operational.evtx Journal des événements Windows contenant des informations sur les sessions RDP. Journaux ✓ d'installation des pilotes ✗ Windows\Logs\catroot2_dberr.txt Contient des informations sur les catalogues qui ont été ajoutés à « catstore » pendant l'installation des pilotes. Journaux SetupAPI* ✗ Windows\Logs\SetupAPI\setupapi*.log Journaux d'installation des périphériques et des applications au format texte. 4 ✓ Journaux Windows Journal des ✓ événements opérationnels de l'activité WMI ✓ Windows\Logs\WMI-Activity.evtx Journal des événements Windows contenant des données de traçage de l'activité WMI. Seuls les messages des derniers 30 jours sont inclus. Journal des événements de l'application ✓ ✓ Windows\Logs\Application.evtx Fichier journal des événements de l'application Windows. Seuls les messages des derniers 30 jours sont inclus. Journal des événements système ✓ ✓ Windows\Logs\System.evtx Fichier journal des événements système Windows. Seuls les messages des derniers 30 jours sont inclus. Windows\Services.reg Contient le contenu d'une clé de registre de KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. La collecte de cette clé peut être utile en cas de problèmes liés aux lecteurs. Contenu de la clé de registre des services *Windows Vista et version ultérieure Configuration système Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier Description de menaces Informations sur les lecteurs ✓ ✓ Windows\drives.txt Windows\volumes.txt Fichier texte collecté contenant des informations sur les lecteurs de disque et les volumes. Informations sur les appareils ✓ ✓ Windows/devices/*.txt Plusieurs fichiers texte collectés contenant des informations sur les classes et les interfaces des appareils. Configuration réseau ✓ ✓ Config\network.txt Fichier texte collecté contenant la configuration réseau. (Résultat de l'exécution de ipconfig /all) Journal ESET SysInspector ✓ ✓ Config\SysInspector.xml Journal SysInspector au format XML. Catalogue Winsock ✓ LSP ✓ Config\WinsockLSP.txt Collecte de la sortie de la commande « netsh winsock show catalog ». Filtres WFP* ✓ ✓ Config\WFPFilters.xml Configuration des filtres WFP collectée au format XML. Contenu complet du registre Windows ✗ ✓ Windows\Registry\* Plusieurs fichiers binaires collectés contenant les données du registre Windows. Liste des fichiers dans les répertoires temporaires ✓ ✓ Windows\TmpDirs\*.txt Plusieurs fichiers texte collectés comportant le contenu des répertoires temp de l'utilisateur du système, les répertoires %windir%/temp, %TEMP% et %TMP%. Tâches planifiées Windows ✗ ✓ Windows\Scheduled Tasks\*.* Plusieurs fichiers xml collectés contenant toutes les tâches du Planificateur de tâches de Windows afin de détecter les logiciels malveillants exploitant le Planificateur de tâches. Comme les fichiers sont situés dans des sous-dossiers, toute la structure est collectée. 5 Configuration système Espace de stockage WMI ✗ ✓ Windows\WMI Repository\*.* Plusieurs fichiers binaires collectés contenant des données de base de données WMI (méta-information, définition et données statiques des classes WMI). La collecte de ces fichiers peut permettre d'identifier les logiciels malveillants qui utilisent WMI pour la persistance (comme Turla). Comme les fichiers WMI peuvent être situés dans des sous-dossiers, toute la structure est collectée. Rôles et fonctionnalités Windows Server ✓ ✗ Windows\server_features.txt Fichier texte contenant une arborescence de toutes les fonctionnalités de Windows Server. Chaque fonctionnalité contient les informations suivantes : oÉtat installé oNom localisé oNom de code oÉtat (disponible sous Microsoft Windows Server 2012 et versions ultérieures) *Windows 7 et version ultérieure Programme d'installation ESET Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier de menaces Journaux du programme d'installation ESET ✓ ✗ ESET\Installer\*.log Description Journaux d'installation créés pendant l'installation des produits ESET NOD32 Antivirus et ESET Smart Security 10 Premium. Les journaux ESET Remote Administrator s'appliquent aussi à ESET Security Management Center. ESET Security Management Center (ESMC) et ESET Remote Administrator (ERA) Profil de collecte Nom de l'artefact Journaux ESMC/ERA Server 6 Par défaut Détection Emplacement/nom du fichier de menaces Description ✓ ✗ Création des journaux du produit Server dans l'archive ZIP. Elle contient les journaux de suivi, d'état et de dernières erreurs. ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip ESET Security Management Center (ESMC) et ESET Remote Administrator (ERA) Journaux ESMC/ERA Agent ✓ ✗ ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip Création des journaux du produit Agent dans l'archive ZIP. Elle contient les journaux de suivi, d'état et de dernières erreurs. Informations ✗ sur les processus ESMC/ERA et fichiers d'image mémoire* ✗ ERA\Server\Process and old dump\RemoteAdministratorServerDiagnostic<datetime>.zip Fichier(s) d'image mémoire du processus serveur. Informations ✗ sur les processus ESMC/ERA et fichiers d'image mémoire* ✗ ERA\Agent\Process and old dump\RemoteAdministratorAgentDiagnostic<datetime>.zip Fichier(s) d'image mémoire du processus Agent. Configuration ✓ ESMC/ERA ✗ ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip Fichiers de configuration du serveur et d'informations d'application dans l'archive ZIP. Configuration ✓ ESMC/ERA ✗ ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip Fichiers de configuration de l'Agent et d'informations d'application dans l'archive ZIP. Journaux ESMC/ERA Rogue Detection Sensor ✗ ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip Fichier ZIP contenant le journal de suivi RD Sensor, le journal de dernières erreurs, le journal d'état, la configuration, le ou les fichiers d'image mémoire et les fichiers d'informations générales. 7 ✓ ESET Security Management Center (ESMC) et ESET Remote Administrator (ERA) Journaux ESMC/ERA MDMCore ✓ ✗ ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip Fichier ZIP contenant le journal de suivi MDMCore, le journal de dernières erreurs, le journal d'état, le ou les fichiers d'image mémoire et les fichiers d'informations générales. Journaux ESMC/ERA Proxy ✓ ✗ ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip Fichier ZIP contenant le journal de suivi ERA Proxy, le journal de dernières erreurs, le journal d'état, la configuration, le ou les fichiers d'image mémoire et les fichiers d'informations générales. Base de données ESMC/ERA Agent ✓ ✗ ERA\Agent\Database\data.db Fichier de base de données ESMC/ERA Agent. Configuration ✓ d’Apache Tomcat ✗ ERA\Apache\Tomcat\conf\*.* Fichiers de configuration Apache Tomcat. Ils contiennent une copie du fichier server.xml sans informations sensibles. Journaux d'Apache Tomcat ✗ ERA\Apache\Tomcat\logs\*.log ERA\Apache\Tomcat\EraAppData\logs\*.log ERA\Apache\Tomcat\EraAppData\WebConsole\*.log Journal ou journaux Apache Tomcat au format texte situés dans le répertoire d’installation ou d’application Apache Tomcat. Ils contiennent également les journaux de la console web. 8 ✓ ESET Security Management Center (ESMC) et ESET Remote Administrator (ERA) Configuration ✓ du proxy HTTP Apache ✗ ERA\Apache\Proxy\conf\httpd.conf Fichier de configuration du proxy HTTP Apache. Journaux du proxy HTTP Apache ✗ ERA\Apache\Proxy\logs\*.log Emplacement du journal ou des journaux du proxy HTTP Apache au format texte. ✓ *ESMC/ERA Server ou ESMC/ERA Agent ESET Configuration Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier Description de menaces Configuration du produit ESET ✓ ✓ info.xml Fichier XML qui détaille le produit ESET installé sur un système. Il contient des informations de base sur le système, des informations sur le produit installé et la liste des modules du produit. Configuration du produit ESET ✓ ✓ versions.csv Depuis la version 4.0.3.0, le fichier est toujours inclus (sans dépendances). Il contient des informations sur le produit installé. versions.csv doit se trouver dans le répertoire ESET AppData pour qu'il soit inclus. Configuration du produit ESET ✓ ✓ features_state.txt Contient des informations sur les fonctionnalités des produits ESET et leur état (actif, inactif, pas intégré). Le fichier est toujours collecté et il n'est pas lié à un artefact pouvant être sélectionné. Configuration du produit ESET ✓ ✓ Configuration\product_conf.xml Création d'un fichier XML avec la configuration du produit exportée. Liste des fichiers ✓ des répertoires d'installation et de données ESET ✓ ESET\Config\data_dir_list.txt Création d'un fichier texte contenant la liste des fichiers dans le répertoire ESET AppData et tous les sousrépertoires. Liste des fichiers ✓ des répertoires d'installation et de données ESET ✓ ESET\Config\install_dir_list.txt Création d'un fichier texte contenant la liste des fichiers dans le répertoire ESET Install et tous les sousrépertoires. Pilotes ESET ✓ ✓ ESET\Config\drivers.txt Collecte des informations sur les pilotes ESET installés. Configuration du ✓ pare-feu personnel d'ESET ✓ ESET\Config\EpfwUser.dat Copie du fichier avec la configuration du pare-feu personnel d'ESET. Contenu de la clé de registre ESET ✓ ESET\Config\ESET.reg Contient le contenu d'une clé de registre de HKLM\SOFTWARE\ESET 9 ✓ ESET Configuration Catalogue des LSP ✓ Winsock ✓ Config/WinsockLSP.txt Collecte de la sortie de la commande « netsh winsock show catalog ». Dernière politique appliquée ✓ ✓ ESET\Config\lastPolicy.dat Politique appliquée par ESMC/ERA. Composants ESET ✓ ✓ ESET\Config\msi_features.txt Informations collectées sur les composants du programme d'installation MSI du produit ESET disponibles. Configuration de HIPS ✓ ✓ ESET\Config\HipsRules.bin Données des règles HIPS. Configuration des appareils domestiques ✓ ✓ ESET\Config\homenet.dat Données des appareils domestiques. Quarantaine Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier Description de menaces Informations sur les fichiers mis en quarantaine ✓ ✓ ESET\Quarantine\quar_info.txt Création d'un fichier texte contenant la liste des objets mis en quarantaine. Petits fichiers en quarantaine (< 250 Ko) ✓ ✗ ESET\Quarantine\*.*(< 250KB) Met en quarantaine les fichiers dont la taille est inférieure à 250 Ko. Fichiers volumineux en quarantaine (> 250 Ko) ✗ ✓ ESET\Quarantine\*.*(> 250KB) Met en quarantaine les fichiers dont la taille est supérieure à 250 Ko. Journaux ESET Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier de menaces Description Journal des événements ESET ✓ ✓ ESET\Logs\Common\warnlog.dat Journal des événements du produit ESET au format binaire. Journal des ✓ menaces détectées ESET ✓ ESET\Logs\Common\virlog.dat Journal des menaces détectées ESET au format binaire. Journaux d'analyse de l'ordinateur ESET ✗ ✓ ESET\Logs\Common\eScan\*.dat Journal ou journaux d'analyse de l'ordinateur ESET au format binaire. Journal HIPS ESET* ✓ ✓ ESET\Logs\Common\hipslog.dat Journal HIPS ESET au format binaire. Journaux du contrôle parental ESET* ✓ ✓ ESET\Logs\Common\parentallog.dat Journal du contrôle parental ESET au format binaire. 10 Journaux ESET Journal du contrôle de périphérique ESET* ✓ ✓ ESET\Logs\Common\devctrllog.dat Journal du contrôle de périphérique ESET au format binaire. Journal de protection de la Webcam ESET* ✓ ✓ ESET\Logs\Common\webcamlog.dat Journal de protection de la Webcam ESET au format binaire. Journaux des analyses de base de données de serveur à la demande ESET ✓ ✓ ESET\Logs\Common\ServerOnDemand\*.dat Journal ou journaux à la demande du serveur ESET au format binaire. Journaux des ✓ analyses du serveur ESET Hyper-V ✓ ESET\Logs\Common\HyperVOnDemand\*.dat Journal ou journaux d'analyse ESET Hyper-V Server au format binaire. Journaux des scans ✓ de MS OneDrive ✓ ESET\Logs\Common\O365OnDemand\*.dat Journal ou journaux des scans de MS OneDrive au format binaire. Journal des fichiers bloqués ESET ✓ ✓ ESET\Logs\Common\blocked.dat Journal ou journaux des fichiers bloqués ESET au format binaire. Journal des fichiers envoyés ESET ✓ ✓ ESET\Logs\Common\sent.dat Journal ou journaux des fichiers envoyés ESET au format binaire. Journal de vérification ESET ✓ ✓ ESET\Logs\Common\audit.dat Journal ou journaux de l'audit ESET au format binaire. *Option affichée uniquement lorsque le fichier existe. Journaux ESET Network Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier de menaces Description Journal de protection du réseau ESET* ✓ ✓ ESET\Logs\Net\epfwlog.dat Journal de protection du réseau ESET au format binaire. Journal des sites Web filtrés ESET* ✓ ✓ ESET\Logs\Net\urllog.dat Journal du filtre des sites Web ESET au format binaire. Journal du filtrage Internet ESET* ✓ ✓ ESET\Logs\Net\webctllog.dat Journal du filtrage Internet ESET au format binaire. Journaux ESET pcap ✓ ✗ ESET\Logs\Net\EsetProxy*.pcapng Copie des journaux ESET pcap. *Option affichée uniquement lorsque le fichier existe. Diagnostics ESET Profil de collecte Nom de l'artefact 11 Par défaut Détection Emplacement/nom du fichier Description de menaces Diagnostics ESET Base de données du cache local ✗ ✓ ESET\Diagnostics\local.db Base de données des fichiers analysés ESET. Journaux des ✓ informations de diagnostic de produit générales ✗ ESET\Diagnostics\*.* Fichiers (mini-fichiers d'image mémoire) du dossier des diagnostics ESET. Journaux de diagnostic ECP ✗ ESET\Diagnostics\ECP\*.xml Les journaux de diagnostic ESET Communication Protocol sont générés en cas de problèmes liés à l'activation des produits et à la communication avec les serveurs d'activation. ✓ ESET Secure Authentication Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier Description de menaces Journaux d'ESA ✗ ✓ ESA\*.log Journal ou journaux exportés à partir d'ESET Secure Authentication. ESET Enterprise Inspector Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier Description de menaces Journaux d'EEI Server ✓ ✗ EEI\Server\Logs\*.log Journaux texte de produit serveur. Journaux d'EEI Agent ✓ ✗ EEI\Agent\Logs\*.log Journaux texte de produit agent. Configuration d'EEI Server ✓ ✗ EEI\Server\eiserver.ini Fichier .ini contenant la configuration du produit serveur. Configuration d'EEI Agent ✓ ✗ EEI\Agent\eiagent.ini Fichier .ini contenant la configuration du produit agent. Politique d'EEI Server ✓ ✗ EEI\Server\eiserver.policy.ini Fichier .ini contenant la politique du produit serveur. Politique d'EEI Agent ✓ ✗ EEI\Agent\eiagent.policy.ini Fichier .ini contenant la politique du produit agent. Certificats d'EEI Server ✓ ✗ EEI\Server\Certificates\*.* Contient les fichiers de certification utilisés par le produit serveur. Comme les fichiers sont situés dans des sous-dossiers, toute la structure est collectée. Certificats d'EEI Agent ✓ ✗ EEI\Agent\Certificates\*.* Contient des fichiers de certification utilisés par le produit agent. Comme les fichiers sont situés dans des sous-dossiers, toute la structure est collectée. Images mémoire d'EEI Server ✓ ✗ EEI\Server\Diagnostics\*.* Fichiers de vidage du produit serveur. 12 ESET Enterprise Inspector Configuration du serveur MySQL ✓ ✗ EEI\My SQL\my.ini Fichier .ini contenant la configuration de MySQL Server utilisée par le produit EEI Server. Journaux du serveur MySQL ✓ ✗ EEI\My SQL\EEI.err Journal texte des erreurs de MySQL Server utilisé par le produit EEI Server. ESET Full Disk Encryption Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier Description de menaces Journaux d'EFDE ✗ ✗ EFDE\AIS\Logs\*.* EFDE\Core\*.log Journaux exportés (AIS et principal) depuis ESET Full Disk Encryption. Données de licence EFDE ✗ ✗ EFDE\AIS\Licesne\*.* Fichiers de données de licence d'ESET Full Disk Encryption. Configuration d'EFDE ✗ ✗ EFDE\AIS\lastpolicy.dat Contient la configuration d'ESET Full Disk Encryption. Journaux de messagerie ESET (ESET Mail Security for Exchange, ESET Mail Security for Domino) Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier de menaces Description Journal de courrier indésirable ESET ✓ ✗ ESET\Logs\Email\spamlog.dat Journal de courrier indésirable ESET au format binaire. Journal des listes grises ESET ✓ ✗ ESET\Logs\Email\greylistlog.dat Journal des listes grises ESET au format binaire. Journal de protection SMTP ESET ✓ ✗ ESET\Logs\Email\smtpprot.dat Journal de protection SMTP ESET au format binaire. Journal de la ✓ protection du serveur de messagerie ESET ✗ ESET\Logs\Email\mailserver.dat Journal de la protection du serveur de messagerie ESET au format binaire. Journaux du traitement des courriers électroniques de diagnostic ESET ✓ ✗ ESET\Logs\Email\MailServer\*.dat Journaux du traitement des courriers électroniques de diagnostic ESET au format binaire ; copie directe à partir du disque. Journal de courrier indésirable ESET* ✓ ✗ ESET\Logs\Email\spamlog.dat Journal de courrier indésirable ESET au format binaire. 13 Journaux de messagerie ESET (ESET Mail Security for Exchange, ESET Mail Security for Domino) Journaux de diagnostic et de configuration antispam ESET ✓ ✗ ESET\Logs\Email\Antispam\antispam.*.log Copie des journaux de ESET\Config\Antispam\*.* diagnostic et de configuration antispam ESET. *Option affichée uniquement lorsque le fichier existe. Journaux ESET SharePoint (ESET Security for SharePoint) Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier Description de menaces ESET SHPIO.log ✗ ✓ ESET\Log\ESHP\SHPIO.log Journal de diagnostic ESET de l'utilitaire SHPIO.exe. Journaux spécifiques à un produit : des options sont disponibles pour un produit spécifique. Domino (ESET Mail Security for Domino) Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier de menaces Description Journaux Domino IBM_TECHNICAL_SUPPORT + notes.ini ✓ ✗ LotusDomino\Log\notes.ini Fichier de configuration IBM Domino. Journaux Domino IBM_TECHNICAL_SUPPORT + notes.ini ✓ ✗ LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.* Journaux IBM Domino, datant de moins de 30 jours. MS SharePoint (ESET Security for SharePoint) Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier de menaces Journaux ✓ MS SharePoint ✗ SharePoint\Logs\*.log Contenu ✓ de la clé de registre SharePoint ✗ SharePoint\WebServerExt.reg Contient le contenu d'une clé de registre de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions. Disponible uniquement lorsque ESET Security for SharePoint est installé. 14 Description Journaux MS SharePoint, datant de moins de 30 jours. MS Exchange (ESET Mail Security for Exchange) Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier de menaces Enregistrement des agents de transport MS Exchange ✓ ✗ Exchange\agents.config Fichier de configuration de l'enregistrement des agents de transport MS Exchange. Destiné à Microsoft Exchange Server 2007 et version ultérieure. Enregistrement des agents de transport MS Exchange ✓ ✗ Exchange\sinks_list.txt Fichier d'image mémoire de l'enregistrement des récepteurs d'événements MS Exchange. Destiné à Microsoft Exchange Server 2000 et 2003. Journaux des services Web Exchange ✓ ✗ Exchange\EWS\*.log Collecte des journaux des services Web Exchange Server. Description Kerio Connect (ESET Security for Kerio) Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier de menaces Description ✓ ✗ Kerio\Connect\mailserver.cfg Fichier de configuration de Kerio Connect. Journaux Kerio ✓ Connect ✗ Kerio\Connect\Logs\{mail,error,security,debug,warning}.log Fichiers journaux Kerio Connect sélectionnés. Configuration de Kerio Connect Kerio Control (ESET Security for Kerio) Profil de collecte Nom de l'artefact Par défaut Détection Emplacement/nom du fichier de menaces Description Configuration de Kerio Control ✓ ✗ Kerio\Connect\winroute.cfg Fichier de configuration de Kerio Control. Journaux Kerio Control ✓ ✗ Kerio\Connect\Logs\{alert,error,security,debug,warning}.log Fichiers journaux Kerio Control sélectionnés. Ligne de commande ESET Log Collector L'interface de ligne de commande est une fonctionnalité qui permet d'utiliser ESET Log Collector sans l'interface utilisateur graphique, par exemple sur une installation Server Core ou Nano Server, lorsque vous devez ou souhaitez utiliser simplement la ligne de commande plutôt que l'interface utilisateur graphique. Il existe également 15 une fonction à ligne de commande seulement qui permet de convertir le fichier journal binaire ESET dans un format XML ou en fichier texte. Aide de la ligne de commande : exécutez la commande start /wait ESETLogCollector.exe /? pour afficher l'aide sur la syntaxe. Elle répertorie également les cibles disponibles (artefacts) pouvant être collectées. Le contenu de la liste dépend du type du produit de sécurité ESET détecté installé sur le système sur lequel ESET Log Collector s'exécute. Seuls les artefacts pertinents sont disponibles. REMARQUE Il est recommandé d'utiliser le préfixe start /wait lors de l'exécution d'une commande, car ESET Log Collector est principalement un outil d'interface utilisateur graphique et l'interpréteur de ligne de commande Windows (shell) n'attend pas l'arrêt de l'exécutable et renvoie immédiatement le résultat puis affiche une nouvelle invite. Lorsque vous utilisez le préfixe start /wait, le shell Windows attend l'arrêt de ESET Log Collector. Si vous exécutez ESET Log Collector pour la première fois, ESET Log Collector vous demande d'accepter les termes du Contrat de Licence de l'utilisateur final. Pour accepter ces termes, exécutez la toute première commande avec le paramètre /accepteula. Toutes les commandes suivantes seront exécutées sans avoir à utiliser le paramètre /accepteula. Si vous ne voulez pas accepter les termes du Contrat de Licence de l'utilisateur final et que vous n'utilisez pas le paramètre /accepteula, votre commande ne sera pas exécutée. En outre, le paramètre /accepteula doit être spécifié en tant que premier paramètre, par exemple : start /wait ESETLogCollector.exe /accepteula /age:90 /otype:fbin /targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip Utilisation : [start /wait] ESETLogCollector.exe [options] <out_zip_file> : collecte les journaux selon les options spécifiées et crée un fichier d'archive de sortie au format ZIP. [start /wait] ESETLogCollector.exe /Bin2XML [/All] <eset_binary_log> <output_xml_file> : convertit le fichier journal binaire ESET (.dat) en fichier XML. [start /wait] ESETLogCollector.exe /Bin2Txt [/All] <eset_binary_log> <output_txt_file> : convertit le fichier journal binaire ESET (.dat) en fichier texte. Options : /Age:<jours> : Âge maximal des entrées de journal collectées exprimé en jours. La plage de valeurs est comprise entre 0 et 999. 0 indique une valeur infinie ; la valeur par défaut est 30. /OType:<xml|fbin|obin> : Format de collecte des journaux ESET : xml : XML filtré fbin : Binaire filtré (valeur par défaut) obin : Binaire d'origine du disque /All : traduire également les entrées marquées comme supprimée. Ce paramètre est uniquement applicable lors de la conversion du fichier journal binaire ESET au format XML ou TXT. /Targets:<id1>[,<id2>...] : Liste des artefacts à collecter. Si cette valeur n'est pas spécifiée, un ensemble par défaut est collecté. La valeur spéciale 'all' signifie toutes les cibles. /NoTargets:<id1>[,<id2>...] : Liste des artefacts à ignorer. Cette liste est appliquée après la liste des cibles. /Profile:<default|threat|all> : un profil de collecte est un ensemble défini de cibles : Default : Profil utilisé pour les incidents techniques généraux Threat : Profil associé aux incidents de détection de menace All : Sélectionne toutes les cibles disponibles 16 REMARQUE Lorsque vous sélectionnez le format de collecte XML filtré ou Binaire filtré, le filtrage signifie que seules les entrées des derniers jours seront collectées (spécifiés par le paramètre /Age:<days>). Si vous choisissez l'option Binaire d'origine du disque, le paramètre /Age:<days> sera ignoré pour tous les journaux ESET. Pour les autres journaux (journaux des événements Windows, journaux Microsoft SharePoint ou journaux IBM Domino, par exemple), le paramètre /Age:<days> sera appliqué pour que vous puissiez limiter les entrées des journaux autres qu'ESET à un nombre de jours spécifié et que les fichiers binaires ESET soient collectés (copiés) sans limite d'âge. REMARQUE Le paramètre /All permet la conversion de toutes les entrées de journal, notamment celles qui ont été supprimées par le biais de l'interface utilisateur graphique mais qui sont présentes dans le fichier binaire d'origine et marquées comme supprimées (entrées de journal non visible dans l'interface utilisateur graphique). 17 EXEMPLE Cet exemple de commande change la langue en italien. Vous pouvez utiliser n'importe laquelle des langues disponibles : ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR /lang: ITA 18 EXEMPLE Cet exemple de commande collecte la configuration du produit ESET, des informations sur les fichiers mis en quarantaine, les journaux des événements ESET, le journal des menaces détectées ESET et les journaux d'analyse de l'ordinateur en mode de collecte Binaire filtré ESET avec les entrées des 90 derniers jours : start /wait ESETLogCollector.exe /age:90 /otype:fbin /targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip EXEMPLE Cet exemple de commande collecte les processus en cours, le journal des événements système, le journal ESET SysInspector, la configuration du produit ESET, le journal des événements ESET et les journaux des informations de diagnostic de produit générales en mode de collecte Binaire d'origine du disque : start /wait ESETLogCollector.exe /otype:obin /targets:proc,evlogsys,sysin,prodcnf,warn,diag collected_diag_logs.zip EXEMPLE Cet exemple de commande collecte les journaux ERA Agent, les journaux ERA Server, la configuration ERA et les journaux ERA Rogue Detection Sensor en mode de collecte XML filtré avec les entrées des 10 derniers jours : start /wait ESETLogCollector.exe /age:10 /otype:xml /targets:eraag,erasrv,eraconf,erard collected_era_logs.zip EXEMPLE Cet exemple de commande convertit le fichier journal binaire ESET collecté (journal d'analyse de l'ordinateur) au format de fichier XML avec toutes les entrées (y compris les journaux marqués comme supprimés) : start /wait ESETLogCollector.exe /bin2xml /all C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.xmlDe même, conversion du fichier journal d'analyse de l'ordinateur en fichier texte, avec omission des journaux marqués comme supprimés : start /wait ESETLogCollector.exe /bin2txt C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.txt Cibles disponibles Vous trouverez ci-dessous la liste complète de toutes les cibles possibles qui peuvent être collectées à l'aide de la ligne de commande ESET Log Collector spécifiée par l'option /Targets:. REMARQUE Toutes les cibles ne sont peut-être pas répertoriées dans cette liste, car les cibles disponibles pour votre système uniquement sont répertoriées lorsque vous exécutez l'aide de la ligne de commande start /wait ESETLogCollector.exe /? Les cibles non répertoriées ne s'appliquent pas à votre système ou configuration. Proc Processus en cours (handles ouverts et DLL chargées) Drives Informations sur les lecteurs Devices Informations sur les appareils SvcsReg Contenu de la clé de registre des services EvLogApp Journal des événements de l'application EvLogSys Journal des événements système SetupAPI Journaux SetupAPI EvLogLSM Services Terminal Server - Journal des événements opérationnels LSM EvLogWMI Log d'évènement opérationnel de l'activité WMI SysIn Journal ESET SysInspector DrvLog Journaux d'installation des pilotes NetCnf Configuration réseau WFPFil Filtres WFP InstLog Journaux du programme d'installation ESET EfdeLogs Journaux d'EFDE 19 EfdeLic Données de licence EFDE EfdeCfg Configuration d'EFDE EraAgLogs Journaux ERA Agent EraSrv Journaux ERA Server EraConf Configuration ERA EraDumps Informations sur les processus ERA et fichiers d'image mémoire EraRD Journaux ERA Rogue Detection Sensor EraMDM Journaux ERA MDMCore EraProx Journaux ERA Proxy EraTomcatCfg Configuration d’Apache Tomcat EraTomcatLogs Journaux d'Apache Tomcat EraProxyCfg Configuration du proxy HTTP Apache EraProxyLogs Journaux du proxy HTTP Apache EsaLogs Journaux d'ESA ProdCnf Configuration du produit ESET DirList Liste des fichiers des répertoires d'installation et de données ESET Drivers Pilotes ESET EsetReg Contenu de la clé de registre ESET EsetCmpts Composants ESET QInfo Informations sur les fichiers mis en quarantaine QFiles Fichiers en quarantaine QSmallFiles Petits fichiers en quarantaine QBigFiles Fichiers volumineux en quarantaine Warn Journal des événements ESET Threat Journal des menaces détectées ESET OnDem Journaux d'analyse de l'ordinateur ESET Hips Journal HIPS ESET Fw Journal de protection du réseau ESET FwCnf Configuration du pare-feu personnel d'ESET Web Journal des sites Web filtrés ESET Paren Journaux du contrôle parental ESET Dev Journal du contrôle de périphérique ESET WCam Journal de protection de la Webcam ESET WebCtl Journal du filtrage Internet ESET OnDemDB Journaux des analyses de base de données de serveur à la demande ESET HyperV Journaux des analyses du serveur ESET Hyper-V Spam Journal de courrier indésirable ESET Grey Journal des listes grises ESET SMTPProt Journal de protection SMTP ESET Email Journal de la protection du serveur de messagerie ESET EmDiag Journaux du traitement des courriers électroniques de diagnostic ESET ScanCache Base de données du cache local 20 SpamDiag Journaux de diagnostic et de configuration antispam ESET Diag Journaux des informations de diagnostic de produit générales ECPDiag Journaux de diagnostic ECP pcap Journaux ESET pcap XAg Enregistrement des agents de transport MS Exchange XEws Journaux des services Web Exchange Domino Journaux Domino IBM_TECHNICAL_SUPPORT + notes.ini SHPIO ESET SHPIO.log SP Journaux MS SharePoint SHPReg Contenu de la clé de registre SharePoint KConnCnf Configuration de Kerio Connect KConn Journaux Kerio Connect KCtrlCnf Configuration de Kerio Control KCtrl Journaux Kerio Control AllReg Contenu complet du registre Windows WinsockCat Catalogue des LSP Winsock TmpList Liste des fichiers dans les répertoires temporaires SchedTaks Tâches planifiées Windows Wmirepo Espace de stockage WMI WinSrvFeat Rôles et fonctionnalités Windows Server LastPol Dernière politique appliquée BlkF Journal des fichiers bloqués ESET SentF Journal des fichiers envoyés ESET OneDrive Journaux des scans de MS OneDrive Audit Journaux d'audit ESET HipsCfg Configuration de HIPS HomeNetCfg Configuration des appareils domestiques <%STR_EULA%> 21