ESET Log Collector 4.1 Manuel du propriétaire

ESET Log Collector
Guide de l'utilisateur
Cliquez ici pour afficher la version de l'aide en ligne de ce document
Copyright © 2021 par ESET, spol. s r.o.
ESET Log Collector a été développé par ESET, spol. s r.o.
Pour plus d'informations, visitez www.eset.com.
Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système
d'archivage ou transmise sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique,
photocopie, enregistrement, numérisation ou autre sans l'autorisation écrite de l'auteur.
ESET, spol. s r.o. se réserve le droit de modifier les applications décrites sans préavis.
Service client : www.eset.com/support
RÉV. 15/02/2021
1 Introduction
................................................................................................................................................... 1
1.1 Aide ............................................................................................................................................................ 2
2 Interface utilisateur ESET Log Collector
....................................................................................... 2
2.1 Liste des artefacts/fichiers collectés .................................................................................................. 15
3 Ligne de commande ESET Log Collector
.................................................................................... 15
3.1 Cibles disponibles .................................................................................................................................. 19
Introduction
Le but de l'application ESET Log Collector est de collecter des données spécifiques telles que la configuration et les
journaux d'un ordinateur en particulier pour faciliter la collecte d'informations de l'ordinateur du client pendant la
résolution d'un incident technique. Vous pouvez indiquer les informations à collecter à partir de la liste des
artefacts prédéfinie, l'âge maximal des entrées de journal collectées, le format des journaux ESET collectés et le
nom du fichier ZIP de sortie qui contiendra tous les fichiers et les informations collectés. Si vous exécutez ESET Log
Collector sur un ordinateur sur lequel un produit de sécurité ESET n'est pas installé, seuls les journaux des
événements Windows et les fichiers d’image mémoire des processus en cours peuvent être collectés.
REMARQUE
La configuration système requise pour ESET Log Collector est la même que pour votre produit de sécurité ESET.
ESET Log Collector s’exécute sur n’importe quelle version du système d’exploitation Microsoft Windows.
ESET Log Collector collecte automatiquement les informations sélectionnées de votre système afin de vous aider à
résoudre plus rapidement les problèmes. Lorsque vous signalez un problème auprès de l'assistance technique
d'ESET, il se peut que vous deviez fournir les journaux de votre ordinateur. ESET Log Collector facilite la collecte
des informations nécessaires.
ESET Log Collector contient toutes les langues dans un seul exécutable. Vous pouvez ainsi changer de langue selon
les besoins au démarrage sans avoir à télécharger la bonne version localisée. La langue à utiliser est détectée
automatiquement ou peut être sélectionnée explicitement. Il existe deux façons de spécifier explicitement la
langue :
1. Utilisez le commutateur de ligne de commande /lang:<language_code>
2. Renommez le fichier en ESETLogCollector_<language_code>.exe
Valeurs disponibles des codes de langue : ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN,
CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR
REMARQUE
ESET Log Collector est distribué sous la forme d'une application 32 bits. Pour être totalement opérationnel sur un
système 64 bits, cet outil contient un exécutable 64 bits d'ESET Log Collector incorporé en tant que ressource, qui
est extrait dans un répertoire Temp et exécuté lorsqu'un système 64 bits est détecté.
Vous pouvez utiliser ESET Log Collector dans les deux modes suivants :
• Interface utilisateur graphique (GUI)
• Interface de ligne de commande (CLI) (depuis la version 1.8). Lorsqu'aucun paramètre de ligne de commande
n'est défini, ESET Log Collector démarre en mode GUI.
Les journaux du produit ESET sont collectés en tant que fichiers binaires d'origine ou fichiers binaires filtrés
(valeur par défaut) lorsqu'ESET Log Collector est utilisé avec une interface utilisateur graphique. Dans le cas d'une
exportation de binaires filtrés, vous pouvez sélectionner l'âge maximal des entrées exportées. Le nombre maximal
d'entrées exportées est de 1 million par fichier journal.
REMARQUE
ESET Log Collector Contient une fonctionnalité supplémentaire qui permet de convertir les fichiers journaux
binaires ESET collectés (.dat) au format XML ou de fichier texte. Vous ne pouvez toutefois convertir un journal
binaire ESET collecté qu'à l'aide de l'interface de ligne de commande (CLI) ESET Log Collector.
1
Aide
Pour accéder à la version la plus récente de l'aide en ligne, appuyez sur la touche F1 ou cliquez sur le bouton ?.
Interface utilisateur ESET Log Collector
Une fois ESET Log Collector téléchargé à partir du site Web ESET, lancez l'application. Après avoir accepté les
termes du contrat de licence de l'utilisateur final (CLUF), ESET Log Collector s'ouvre. Si vous ne voulez pas
accepter ces termes, cliquez sur Annuler. ESET Log Collector ne s'ouvrira pas.
Vous pouvez sélectionner un profil de collecte ou effectuer votre propre sélection d'artefacts. Un profil de
collecte est un ensemble défini d'artefacts :
• Par défaut : profil par défaut avec le plus grand nombre d'artefacts sélectionnés. Il est utilisé pour les
incidents techniques génériques (pour obtenir la liste détaillée des artefacts sélectionnés, voir la section Liste
des artefacts).
• Détection de menace : recoupe le profil par défaut dans de nombreux artefacts. Toutefois, contrairement au
profil par défaut, la détection de menace est axée sur la collecte d'artefacts qui permet la résolution des
incidents techniques relatifs à la détection de logiciels malveillants (pour obtenir la liste détaillée des artefacts
sélectionnés, voir la section Liste des artefacts).
2
• Tout : sélectionne tous les artefacts disponibles.
• Aucun : désélectionne tous les artefacts et permet d'activer les cases à cocher adéquates pour les journaux
que vous souhaitez collecter.
• Personnalisé : ce profil de collecte est sélectionné automatiquement lorsque vous apportez une modification
à un profil précédemment sélectionné et que la combinaison actuelle des artefacts sélectionnés ne correspond à
aucun des profils présentés ci-dessus.
REMARQUE
La liste des artefacts affichés pouvant être collectés change en fonction du type de produit de sécurité ESET
détecté installé sur le système, de la configuration système et d'autres logiciels comme les applications Microsoft
Server. Seuls les artefacts pertinents sont disponibles.
Sélectionnez la limite d'âge des journaux [jours] et le mode de collecte des journaux ESET (l'option par défaut
est Binaire filtré).
Mode de collecte des journaux ESET :
• Binaire filtré : les entrées sont filtrées selon le nombre de jours spécifié par l'option Limite d'âge des
journaux [jours], ce qui signifie que seules les entrées des derniers jours seront collectées.
• Binaire d'origine du disque : copie les fichiers journaux binaires ESET en ignorant la valeur Limite d'âge
des journaux [jours] pour les journaux ESET afin de collecter toutes les entrées indépendamment de leur âge.
La limite d'âge s'applique toutefois aux journaux autres qu'ESET comme les journaux des événements Windows,
les journaux Microsoft SharePoint et les journaux IBM Domino.
Vous pouvez indiquer l'emplacement où enregistrer les fichiers d'archive, puis cliquer sur Enregistrer. Le nom du
fichier d'archive est déjà prédéfini. Cliquez sur Collecter. L'opération de l'application peut être interrompue à tout
moment pendant le traitement en appuyant sur le même bouton. L'image du bouton change en Annuler pendant
le traitement. La réussite ou l'échec de l'opération est indiqué dans un message contextuel. En cas d'échec, le
panneau des journaux contient des informations supplémentaires sur l'erreur.
Pendant la collecte, la fenêtre d'opération sur les journaux s'affiche dans la partie inférieure pour que vous puissiez
déterminer quelle opération est en cours. Une fois la collecte terminée, toutes les données collectées et archivées
sont affichées. Cela signifie que la collecte a été correctement effectuée et que le fichier d'archive (par exemple,
emsx_logs.zip, ees_logs.zip ou eea_logs.zip) a été enregistré à l'emplacement spécifié. (pour des informations
détaillées, voir la section Liste des artefacts).
Liste des artefacts/fichiers collectés
Cette section décrit les fichiers contenus dans le fichier .zip obtenu. Les descriptions sont divisées en sous-sections
selon le type d'informations (fichiers et artefacts).
Emplacement/nom du fichier Description
metadata.txt
Contient la date de création de l'archive .zip, la version d'ESET Log Collector, la
version du produit ESET et des informations de base sur les licences.
collector_log.txt
Copie du fichier journal à partir de l'interface utilisateur graphique. Il contient
des données jusqu'au moment de la création du fichier .zip.
3
Processus Windows
Profil de collecte
Nom de
l'artefact
Par
défaut
Détection Emplacement/nom du fichier
de
menaces
Description
Processus en
✓
cours
(handles ouverts
et DLL chargées)
✓
Windows\Processes\Processes.txt Fichier texte contenant la liste des
processus en cours sur l'ordinateur.
Pour chaque processus, les éléments
suivants sont indiqués :
oPID
oPID parent
oNombre de threads
oNombre de handles ouverts
regroupés par type
oModules chargés
oCompte utilisateur sous lequel le
processus est exécuté
oUtilisation de la mémoire
oHorodatage du démarrage
oDurée noyau et utilisateur
oStatistiques d'E/S
oLigne de commande
Processus en
✓
cours
(handles ouverts
et DLL chargées)
✓
Windows\ProcessesTree.txt
Fichier texte contenant
l'arborescence des processus en
cours sur l'ordinateur. Pour chaque
processus, les éléments suivants
sont indiqués :
oPID
oCompte utilisateur sous lequel le
processus est exécuté
oHorodatage du démarrage
oLigne de commande
Journaux Windows
Profil de collecte
Nom de
l'artefact
Par
défaut
Détection Emplacement/nom du fichier
de
menaces
Description
Journal des
événements
de
l'application
✓
✓
Windows\Logs\Application.xml
Journaux des événements de l'application Windows dans
un format XML personnalisé. Seuls les messages des
derniers 30 jours sont inclus.
Journal des
événements
système
✓
✓
Windows\Logs\System.xml
Journaux des événements système Windows dans un
format XML personnalisé. Seuls les messages des derniers
30 jours sont inclus.
Services
✓
Terminal
Server Journal des
événements
opérationnels
LSM*
✓
Windows\Logs\LocalSessionManager-Operational.evtx Journal des événements Windows contenant des
informations sur les sessions RDP.
Journaux
✓
d'installation
des pilotes
✗
Windows\Logs\catroot2_dberr.txt
Contient des informations sur les catalogues qui ont été
ajoutés à « catstore » pendant l'installation des pilotes.
Journaux
SetupAPI*
✗
Windows\Logs\SetupAPI\setupapi*.log
Journaux d'installation des périphériques et des
applications au format texte.
4
✓
Journaux Windows
Journal des
✓
événements
opérationnels
de l'activité
WMI
✓
Windows\Logs\WMI-Activity.evtx
Journal des événements Windows contenant des données
de traçage de l'activité WMI. Seuls les messages des
derniers 30 jours sont inclus.
Journal des
événements
de
l'application
✓
✓
Windows\Logs\Application.evtx
Fichier journal des événements de l'application Windows.
Seuls les messages des derniers 30 jours sont inclus.
Journal des
événements
système
✓
✓
Windows\Logs\System.evtx
Fichier journal des événements système Windows. Seuls
les messages des derniers 30 jours sont inclus.
Windows\Services.reg
Contient le contenu d'une clé de registre de
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
La collecte de cette clé peut être utile en cas de
problèmes liés aux lecteurs.
Contenu de
la clé de
registre des
services
*Windows Vista et version ultérieure
Configuration système
Profil de collecte
Nom de
l'artefact
Par
défaut
Détection Emplacement/nom du fichier Description
de
menaces
Informations sur
les lecteurs
✓
✓
Windows\drives.txt
Windows\volumes.txt
Fichier texte collecté contenant des
informations sur les lecteurs de
disque et les volumes.
Informations sur
les appareils
✓
✓
Windows/devices/*.txt
Plusieurs fichiers texte collectés
contenant des informations sur les
classes et les interfaces des appareils.
Configuration
réseau
✓
✓
Config\network.txt
Fichier texte collecté contenant la
configuration réseau. (Résultat de
l'exécution de ipconfig /all)
Journal ESET
SysInspector
✓
✓
Config\SysInspector.xml
Journal SysInspector au format XML.
Catalogue Winsock ✓
LSP
✓
Config\WinsockLSP.txt
Collecte de la sortie de la commande
« netsh winsock show catalog ».
Filtres WFP*
✓
✓
Config\WFPFilters.xml
Configuration des filtres WFP collectée
au format XML.
Contenu complet
du registre
Windows
✗
✓
Windows\Registry\*
Plusieurs fichiers binaires collectés
contenant les données du registre
Windows.
Liste des fichiers
dans les
répertoires
temporaires
✓
✓
Windows\TmpDirs\*.txt
Plusieurs fichiers texte collectés
comportant le contenu des répertoires
temp de l'utilisateur du système, les
répertoires %windir%/temp, %TEMP%
et %TMP%.
Tâches planifiées
Windows
✗
✓
Windows\Scheduled Tasks\*.*
Plusieurs fichiers xml collectés
contenant toutes les tâches du
Planificateur de tâches de Windows
afin de détecter les logiciels
malveillants exploitant le Planificateur
de tâches. Comme les fichiers sont
situés dans des sous-dossiers, toute la
structure est collectée.
5
Configuration système
Espace de
stockage WMI
✗
✓
Windows\WMI Repository\*.*
Plusieurs fichiers binaires collectés
contenant des données de base de
données WMI (méta-information,
définition et données statiques des
classes WMI). La collecte de ces
fichiers peut permettre d'identifier les
logiciels malveillants qui utilisent WMI
pour la persistance (comme Turla).
Comme les fichiers WMI peuvent être
situés dans des sous-dossiers, toute la
structure est collectée.
Rôles et
fonctionnalités
Windows Server
✓
✗
Windows\server_features.txt
Fichier texte contenant une
arborescence de toutes les
fonctionnalités de Windows Server.
Chaque fonctionnalité contient les
informations suivantes :
oÉtat installé
oNom localisé
oNom de code
oÉtat (disponible sous Microsoft
Windows Server 2012 et versions
ultérieures)
*Windows 7 et version ultérieure
Programme d'installation ESET
Profil de collecte
Nom de l'artefact
Par
défaut
Détection Emplacement/nom du
fichier
de
menaces
Journaux du
programme
d'installation ESET
✓
✗
ESET\Installer\*.log
Description
Journaux d'installation créés
pendant l'installation des produits
ESET NOD32 Antivirus et ESET
Smart Security 10 Premium.
Les journaux ESET Remote Administrator s'appliquent aussi à ESET Security Management Center.
ESET Security Management Center (ESMC) et ESET Remote Administrator (ERA)
Profil de collecte
Nom de
l'artefact
Journaux
ESMC/ERA
Server
6
Par
défaut
Détection Emplacement/nom du fichier
de
menaces
Description
✓
✗
Création des
journaux du
produit Server
dans l'archive
ZIP. Elle
contient les
journaux de
suivi, d'état et
de dernières
erreurs.
ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip
ESET Security Management Center (ESMC) et ESET Remote Administrator (ERA)
Journaux
ESMC/ERA
Agent
✓
✗
ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip
Création des
journaux du
produit Agent
dans l'archive
ZIP. Elle
contient les
journaux de
suivi, d'état et
de dernières
erreurs.
Informations ✗
sur les
processus
ESMC/ERA et
fichiers
d'image
mémoire*
✗
ERA\Server\Process and old
dump\RemoteAdministratorServerDiagnostic<datetime>.zip
Fichier(s)
d'image
mémoire du
processus
serveur.
Informations ✗
sur les
processus
ESMC/ERA et
fichiers
d'image
mémoire*
✗
ERA\Agent\Process and old
dump\RemoteAdministratorAgentDiagnostic<datetime>.zip
Fichier(s)
d'image
mémoire du
processus
Agent.
Configuration ✓
ESMC/ERA
✗
ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip Fichiers de
configuration
du serveur et
d'informations
d'application
dans l'archive
ZIP.
Configuration ✓
ESMC/ERA
✗
ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip
Fichiers de
configuration
de l'Agent et
d'informations
d'application
dans l'archive
ZIP.
Journaux
ESMC/ERA
Rogue
Detection
Sensor
✗
ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip
Fichier ZIP
contenant le
journal de
suivi RD
Sensor, le
journal de
dernières
erreurs, le
journal d'état,
la
configuration,
le ou les
fichiers
d'image
mémoire et
les fichiers
d'informations
générales.
7
✓
ESET Security Management Center (ESMC) et ESET Remote Administrator (ERA)
Journaux
ESMC/ERA
MDMCore
✓
✗
ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip Fichier ZIP
contenant le
journal de
suivi
MDMCore, le
journal de
dernières
erreurs, le
journal d'état,
le ou les
fichiers
d'image
mémoire et
les fichiers
d'informations
générales.
Journaux
ESMC/ERA
Proxy
✓
✗
ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip
Fichier ZIP
contenant le
journal de
suivi ERA
Proxy, le
journal de
dernières
erreurs, le
journal d'état,
la
configuration,
le ou les
fichiers
d'image
mémoire et
les fichiers
d'informations
générales.
Base de
données
ESMC/ERA
Agent
✓
✗
ERA\Agent\Database\data.db
Fichier de
base de
données
ESMC/ERA
Agent.
Configuration ✓
d’Apache
Tomcat
✗
ERA\Apache\Tomcat\conf\*.*
Fichiers de
configuration
Apache
Tomcat. Ils
contiennent
une copie du
fichier
server.xml
sans
informations
sensibles.
Journaux
d'Apache
Tomcat
✗
ERA\Apache\Tomcat\logs\*.log
ERA\Apache\Tomcat\EraAppData\logs\*.log
ERA\Apache\Tomcat\EraAppData\WebConsole\*.log
Journal ou
journaux
Apache
Tomcat au
format texte
situés dans le
répertoire
d’installation
ou
d’application
Apache
Tomcat. Ils
contiennent
également les
journaux de la
console web.
8
✓
ESET Security Management Center (ESMC) et ESET Remote Administrator (ERA)
Configuration ✓
du proxy
HTTP Apache
✗
ERA\Apache\Proxy\conf\httpd.conf
Fichier de
configuration
du proxy
HTTP Apache.
Journaux du
proxy HTTP
Apache
✗
ERA\Apache\Proxy\logs\*.log
Emplacement
du journal ou
des journaux
du proxy
HTTP Apache
au format
texte.
✓
*ESMC/ERA Server ou ESMC/ERA Agent
ESET Configuration
Profil de collecte
Nom de
l'artefact
Par
défaut
Détection Emplacement/nom du fichier Description
de
menaces
Configuration du
produit ESET
✓
✓
info.xml
Fichier XML qui détaille le produit
ESET installé sur un système. Il
contient des informations de base sur
le système, des informations sur le
produit installé et la liste des modules
du produit.
Configuration du
produit ESET
✓
✓
versions.csv
Depuis la version 4.0.3.0, le fichier est
toujours inclus (sans dépendances). Il
contient des informations sur le
produit installé. versions.csv doit se
trouver dans le répertoire ESET
AppData pour qu'il soit inclus.
Configuration du
produit ESET
✓
✓
features_state.txt
Contient des informations sur les
fonctionnalités des produits ESET et
leur état (actif, inactif, pas intégré).
Le fichier est toujours collecté et il
n'est pas lié à un artefact pouvant
être sélectionné.
Configuration du
produit ESET
✓
✓
Configuration\product_conf.xml Création d'un fichier XML avec la
configuration du produit exportée.
Liste des fichiers
✓
des répertoires
d'installation et de
données ESET
✓
ESET\Config\data_dir_list.txt
Création d'un fichier texte contenant
la liste des fichiers dans le répertoire
ESET AppData et tous les sousrépertoires.
Liste des fichiers
✓
des répertoires
d'installation et de
données ESET
✓
ESET\Config\install_dir_list.txt
Création d'un fichier texte contenant
la liste des fichiers dans le répertoire
ESET Install et tous les sousrépertoires.
Pilotes ESET
✓
✓
ESET\Config\drivers.txt
Collecte des informations sur les
pilotes ESET installés.
Configuration du
✓
pare-feu personnel
d'ESET
✓
ESET\Config\EpfwUser.dat
Copie du fichier avec la configuration
du pare-feu personnel d'ESET.
Contenu de la clé
de registre ESET
✓
ESET\Config\ESET.reg
Contient le contenu d'une clé de
registre de HKLM\SOFTWARE\ESET
9
✓
ESET Configuration
Catalogue des LSP ✓
Winsock
✓
Config/WinsockLSP.txt
Collecte de la sortie de la commande
« netsh winsock show catalog ».
Dernière politique
appliquée
✓
✓
ESET\Config\lastPolicy.dat
Politique appliquée par ESMC/ERA.
Composants ESET
✓
✓
ESET\Config\msi_features.txt
Informations collectées sur les
composants du programme
d'installation MSI du produit ESET
disponibles.
Configuration de
HIPS
✓
✓
ESET\Config\HipsRules.bin
Données des règles HIPS.
Configuration des
appareils
domestiques
✓
✓
ESET\Config\homenet.dat
Données des appareils domestiques.
Quarantaine
Profil de collecte
Nom de l'artefact
Par
défaut
Détection Emplacement/nom du fichier Description
de
menaces
Informations sur les
fichiers mis en
quarantaine
✓
✓
ESET\Quarantine\quar_info.txt
Création d'un fichier texte
contenant la liste des objets
mis en quarantaine.
Petits fichiers en
quarantaine (< 250 Ko)
✓
✗
ESET\Quarantine\*.*(< 250KB)
Met en quarantaine les fichiers
dont la taille est inférieure à
250 Ko.
Fichiers volumineux en
quarantaine (> 250 Ko)
✗
✓
ESET\Quarantine\*.*(> 250KB)
Met en quarantaine les fichiers
dont la taille est supérieure à
250 Ko.
Journaux ESET
Profil de collecte
Nom de l'artefact Par
défaut
Détection Emplacement/nom du fichier
de
menaces
Description
Journal des
événements ESET
✓
✓
ESET\Logs\Common\warnlog.dat
Journal des événements
du produit ESET au
format binaire.
Journal des
✓
menaces détectées
ESET
✓
ESET\Logs\Common\virlog.dat
Journal des menaces
détectées ESET au
format binaire.
Journaux d'analyse
de l'ordinateur
ESET
✗
✓
ESET\Logs\Common\eScan\*.dat
Journal ou journaux
d'analyse de
l'ordinateur ESET au
format binaire.
Journal HIPS ESET*
✓
✓
ESET\Logs\Common\hipslog.dat
Journal HIPS ESET au
format binaire.
Journaux du
contrôle parental
ESET*
✓
✓
ESET\Logs\Common\parentallog.dat
Journal du contrôle
parental ESET au
format binaire.
10
Journaux ESET
Journal du contrôle
de périphérique
ESET*
✓
✓
ESET\Logs\Common\devctrllog.dat
Journal du contrôle de
périphérique ESET au
format binaire.
Journal de
protection de la
Webcam ESET*
✓
✓
ESET\Logs\Common\webcamlog.dat
Journal de protection de
la Webcam ESET au
format binaire.
Journaux des
analyses de base
de données de
serveur à la
demande ESET
✓
✓
ESET\Logs\Common\ServerOnDemand\*.dat Journal ou journaux à la
demande du serveur
ESET au format binaire.
Journaux des
✓
analyses du serveur
ESET Hyper-V
✓
ESET\Logs\Common\HyperVOnDemand\*.dat Journal ou journaux
d'analyse ESET Hyper-V
Server au format
binaire.
Journaux des scans ✓
de MS OneDrive
✓
ESET\Logs\Common\O365OnDemand\*.dat
Journal ou journaux des
scans de MS OneDrive
au format binaire.
Journal des fichiers
bloqués ESET
✓
✓
ESET\Logs\Common\blocked.dat
Journal ou journaux des
fichiers bloqués ESET
au format binaire.
Journal des fichiers
envoyés ESET
✓
✓
ESET\Logs\Common\sent.dat
Journal ou journaux des
fichiers envoyés ESET
au format binaire.
Journal de
vérification ESET
✓
✓
ESET\Logs\Common\audit.dat
Journal ou journaux de
l'audit ESET au format
binaire.
*Option affichée uniquement lorsque le fichier existe.
Journaux ESET Network
Profil de collecte
Nom de l'artefact
Par
défaut
Détection Emplacement/nom du fichier
de
menaces
Description
Journal de protection
du réseau ESET*
✓
✓
ESET\Logs\Net\epfwlog.dat
Journal de protection du
réseau ESET au format binaire.
Journal des sites Web
filtrés ESET*
✓
✓
ESET\Logs\Net\urllog.dat
Journal du filtre des sites Web
ESET au format binaire.
Journal du filtrage
Internet ESET*
✓
✓
ESET\Logs\Net\webctllog.dat
Journal du filtrage Internet
ESET au format binaire.
Journaux ESET pcap
✓
✗
ESET\Logs\Net\EsetProxy*.pcapng Copie des journaux ESET pcap.
*Option affichée uniquement lorsque le fichier existe.
Diagnostics ESET
Profil de collecte
Nom de l'artefact
11
Par
défaut
Détection Emplacement/nom du fichier Description
de
menaces
Diagnostics ESET
Base de données du
cache local
✗
✓
ESET\Diagnostics\local.db
Base de données des fichiers
analysés ESET.
Journaux des
✓
informations de
diagnostic de produit
générales
✗
ESET\Diagnostics\*.*
Fichiers (mini-fichiers d'image
mémoire) du dossier des
diagnostics ESET.
Journaux de
diagnostic ECP
✗
ESET\Diagnostics\ECP\*.xml
Les journaux de diagnostic ESET
Communication Protocol sont
générés en cas de problèmes liés
à l'activation des produits et à la
communication avec les serveurs
d'activation.
✓
ESET Secure Authentication
Profil de collecte
Nom de l'artefact Par
défaut
Détection Emplacement/nom du fichier Description
de
menaces
Journaux d'ESA
✗
✓
ESA\*.log
Journal ou journaux exportés à partir
d'ESET Secure Authentication.
ESET Enterprise Inspector
Profil de collecte
Nom de l'artefact
Par
défaut
Détection Emplacement/nom du fichier Description
de
menaces
Journaux d'EEI Server ✓
✗
EEI\Server\Logs\*.log
Journaux texte de produit serveur.
Journaux d'EEI Agent ✓
✗
EEI\Agent\Logs\*.log
Journaux texte de produit agent.
Configuration d'EEI
Server
✓
✗
EEI\Server\eiserver.ini
Fichier .ini contenant la
configuration du produit serveur.
Configuration d'EEI
Agent
✓
✗
EEI\Agent\eiagent.ini
Fichier .ini contenant la
configuration du produit agent.
Politique d'EEI Server ✓
✗
EEI\Server\eiserver.policy.ini
Fichier .ini contenant la politique
du produit serveur.
Politique d'EEI Agent ✓
✗
EEI\Agent\eiagent.policy.ini
Fichier .ini contenant la politique
du produit agent.
Certificats d'EEI
Server
✓
✗
EEI\Server\Certificates\*.*
Contient les fichiers de certification
utilisés par le produit serveur.
Comme les fichiers sont situés
dans des sous-dossiers, toute la
structure est collectée.
Certificats d'EEI
Agent
✓
✗
EEI\Agent\Certificates\*.*
Contient des fichiers de
certification utilisés par le produit
agent. Comme les fichiers sont
situés dans des sous-dossiers,
toute la structure est collectée.
Images mémoire
d'EEI Server
✓
✗
EEI\Server\Diagnostics\*.*
Fichiers de vidage du produit
serveur.
12
ESET Enterprise Inspector
Configuration du
serveur MySQL
✓
✗
EEI\My SQL\my.ini
Fichier .ini contenant la
configuration de MySQL Server
utilisée par le produit EEI Server.
Journaux du serveur
MySQL
✓
✗
EEI\My SQL\EEI.err
Journal texte des erreurs de MySQL
Server utilisé par le produit EEI
Server.
ESET Full Disk Encryption
Profil de collecte
Nom de l'artefact
Par
défaut
Détection Emplacement/nom du fichier Description
de
menaces
Journaux d'EFDE
✗
✗
EFDE\AIS\Logs\*.*
EFDE\Core\*.log
Journaux exportés (AIS et
principal) depuis ESET Full Disk
Encryption.
Données de licence
EFDE
✗
✗
EFDE\AIS\Licesne\*.*
Fichiers de données de licence
d'ESET Full Disk Encryption.
Configuration d'EFDE
✗
✗
EFDE\AIS\lastpolicy.dat
Contient la configuration d'ESET
Full Disk Encryption.
Journaux de messagerie ESET (ESET Mail Security for Exchange, ESET Mail Security for Domino)
Profil de collecte
Nom de l'artefact
Par
défaut
Détection Emplacement/nom du fichier
de
menaces
Description
Journal de courrier
indésirable ESET
✓
✗
ESET\Logs\Email\spamlog.dat
Journal de courrier
indésirable ESET au
format binaire.
Journal des listes
grises ESET
✓
✗
ESET\Logs\Email\greylistlog.dat
Journal des listes grises
ESET au format binaire.
Journal de protection
SMTP ESET
✓
✗
ESET\Logs\Email\smtpprot.dat
Journal de protection
SMTP ESET au format
binaire.
Journal de la
✓
protection du serveur
de messagerie ESET
✗
ESET\Logs\Email\mailserver.dat
Journal de la protection
du serveur de
messagerie ESET au
format binaire.
Journaux du
traitement des
courriers
électroniques de
diagnostic ESET
✓
✗
ESET\Logs\Email\MailServer\*.dat
Journaux du traitement
des courriers
électroniques de
diagnostic ESET au
format binaire ; copie
directe à partir du
disque.
Journal de courrier
indésirable ESET*
✓
✗
ESET\Logs\Email\spamlog.dat
Journal de courrier
indésirable ESET au
format binaire.
13
Journaux de messagerie ESET (ESET Mail Security for Exchange, ESET Mail Security for Domino)
Journaux de
diagnostic et de
configuration
antispam ESET
✓
✗
ESET\Logs\Email\Antispam\antispam.*.log Copie des journaux de
ESET\Config\Antispam\*.*
diagnostic et de
configuration antispam
ESET.
*Option affichée uniquement lorsque le fichier existe.
Journaux ESET SharePoint (ESET Security for SharePoint)
Profil de collecte
Nom de l'artefact Par
défaut
Détection Emplacement/nom du fichier Description
de
menaces
ESET SHPIO.log
✗
✓
ESET\Log\ESHP\SHPIO.log
Journal de diagnostic ESET de
l'utilitaire SHPIO.exe.
Journaux spécifiques à un produit : des options sont disponibles pour un produit spécifique.
Domino (ESET Mail Security for Domino)
Profil de collecte
Nom de l'artefact
Par
défaut
Détection Emplacement/nom du fichier
de
menaces
Description
Journaux Domino
IBM_TECHNICAL_SUPPORT
+ notes.ini
✓
✗
LotusDomino\Log\notes.ini
Fichier de
configuration
IBM Domino.
Journaux Domino
IBM_TECHNICAL_SUPPORT
+ notes.ini
✓
✗
LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.* Journaux IBM
Domino,
datant de
moins de
30 jours.
MS SharePoint (ESET Security for SharePoint)
Profil de collecte
Nom de
l'artefact Par
défaut
Détection Emplacement/nom du
fichier
de
menaces
Journaux ✓
MS
SharePoint
✗
SharePoint\Logs\*.log
Contenu
✓
de la clé
de
registre
SharePoint
✗
SharePoint\WebServerExt.reg Contient le contenu d'une clé de registre de
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
Tools\Web Server Extensions. Disponible
uniquement lorsque ESET Security for SharePoint
est installé.
14
Description
Journaux MS SharePoint, datant de moins de
30 jours.
MS Exchange (ESET Mail Security for Exchange)
Profil de collecte
Nom de l'artefact
Par
défaut
Détection Emplacement/nom du
fichier
de
menaces
Enregistrement des
agents de transport MS
Exchange
✓
✗
Exchange\agents.config
Fichier de configuration de
l'enregistrement des agents de
transport MS Exchange. Destiné à
Microsoft Exchange Server 2007 et
version ultérieure.
Enregistrement des
agents de transport MS
Exchange
✓
✗
Exchange\sinks_list.txt
Fichier d'image mémoire de
l'enregistrement des récepteurs
d'événements MS Exchange.
Destiné à Microsoft Exchange
Server 2000 et 2003.
Journaux des services
Web Exchange
✓
✗
Exchange\EWS\*.log
Collecte des journaux des services
Web Exchange Server.
Description
Kerio Connect (ESET Security for Kerio)
Profil de collecte
Nom de
l'artefact
Par
défaut
Détection Emplacement/nom du fichier
de
menaces
Description
✓
✗
Kerio\Connect\mailserver.cfg
Fichier de
configuration
de Kerio
Connect.
Journaux Kerio ✓
Connect
✗
Kerio\Connect\Logs\{mail,error,security,debug,warning}.log Fichiers
journaux Kerio
Connect
sélectionnés.
Configuration
de Kerio
Connect
Kerio Control (ESET Security for Kerio)
Profil de collecte
Nom de
l'artefact
Par
défaut
Détection Emplacement/nom du fichier
de
menaces
Description
Configuration
de Kerio
Control
✓
✗
Kerio\Connect\winroute.cfg
Fichier de
configuration
de Kerio
Control.
Journaux
Kerio Control
✓
✗
Kerio\Connect\Logs\{alert,error,security,debug,warning}.log Fichiers
journaux Kerio
Control
sélectionnés.
Ligne de commande ESET Log Collector
L'interface de ligne de commande est une fonctionnalité qui permet d'utiliser ESET Log Collector sans l'interface
utilisateur graphique, par exemple sur une installation Server Core ou Nano Server, lorsque vous devez ou
souhaitez utiliser simplement la ligne de commande plutôt que l'interface utilisateur graphique. Il existe également
15
une fonction à ligne de commande seulement qui permet de convertir le fichier journal binaire ESET dans un
format XML ou en fichier texte.
Aide de la ligne de commande : exécutez la commande start /wait ESETLogCollector.exe /? pour
afficher l'aide sur la syntaxe. Elle répertorie également les cibles disponibles (artefacts) pouvant être collectées. Le
contenu de la liste dépend du type du produit de sécurité ESET détecté installé sur le système sur lequel ESET Log
Collector s'exécute. Seuls les artefacts pertinents sont disponibles.
REMARQUE
Il est recommandé d'utiliser le préfixe start /wait lors de l'exécution d'une commande, car ESET Log Collector
est principalement un outil d'interface utilisateur graphique et l'interpréteur de ligne de commande Windows
(shell) n'attend pas l'arrêt de l'exécutable et renvoie immédiatement le résultat puis affiche une nouvelle invite.
Lorsque vous utilisez le préfixe start /wait, le shell Windows attend l'arrêt de ESET Log Collector.
Si vous exécutez ESET Log Collector pour la première fois, ESET Log Collector vous demande d'accepter les termes
du Contrat de Licence de l'utilisateur final. Pour accepter ces termes, exécutez la toute première commande avec
le paramètre /accepteula. Toutes les commandes suivantes seront exécutées sans avoir à utiliser le paramètre
/accepteula. Si vous ne voulez pas accepter les termes du Contrat de Licence de l'utilisateur final et que vous
n'utilisez pas le paramètre /accepteula, votre commande ne sera pas exécutée. En outre, le paramètre
/accepteula doit être spécifié en tant que premier paramètre, par exemple : start /wait
ESETLogCollector.exe /accepteula /age:90 /otype:fbin
/targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip
Utilisation :
[start /wait] ESETLogCollector.exe [options] <out_zip_file> : collecte les journaux selon les
options spécifiées et crée un fichier d'archive de sortie au format ZIP.
[start /wait] ESETLogCollector.exe /Bin2XML [/All] <eset_binary_log>
<output_xml_file> : convertit le fichier journal binaire ESET (.dat) en fichier XML.
[start /wait] ESETLogCollector.exe /Bin2Txt [/All] <eset_binary_log>
<output_txt_file> : convertit le fichier journal binaire ESET (.dat) en fichier texte.
Options :
/Age:<jours> : Âge maximal des entrées de journal collectées exprimé en jours. La plage de valeurs est
comprise entre 0 et 999. 0 indique une valeur infinie ; la valeur par défaut est 30.
/OType:<xml|fbin|obin> : Format de collecte des journaux ESET :
xml : XML filtré
fbin : Binaire filtré (valeur par défaut)
obin : Binaire d'origine du disque
/All : traduire également les entrées marquées comme supprimée. Ce paramètre est uniquement applicable
lors de la conversion du fichier journal binaire ESET au format XML ou TXT.
/Targets:<id1>[,<id2>...] : Liste des artefacts à collecter. Si cette valeur n'est pas spécifiée, un
ensemble par défaut est collecté. La valeur spéciale 'all' signifie toutes les cibles.
/NoTargets:<id1>[,<id2>...] : Liste des artefacts à ignorer. Cette liste est appliquée après la liste des
cibles.
/Profile:<default|threat|all> : un profil de collecte est un ensemble défini de cibles :
Default : Profil utilisé pour les incidents techniques généraux
Threat : Profil associé aux incidents de détection de menace
All : Sélectionne toutes les cibles disponibles
16
REMARQUE
Lorsque vous sélectionnez le format de collecte XML filtré ou Binaire filtré, le filtrage signifie que seules les
entrées des derniers jours seront collectées (spécifiés par le paramètre /Age:<days>). Si vous choisissez l'option
Binaire d'origine du disque, le paramètre /Age:<days> sera ignoré pour tous les journaux ESET. Pour les
autres journaux (journaux des événements Windows, journaux Microsoft SharePoint ou journaux IBM Domino, par
exemple), le paramètre /Age:<days> sera appliqué pour que vous puissiez limiter les entrées des journaux
autres qu'ESET à un nombre de jours spécifié et que les fichiers binaires ESET soient collectés (copiés) sans limite
d'âge.
REMARQUE
Le paramètre /All permet la conversion de toutes les entrées de journal, notamment celles qui ont été
supprimées par le biais de l'interface utilisateur graphique mais qui sont présentes dans le fichier binaire d'origine
et marquées comme supprimées (entrées de journal non visible dans l'interface utilisateur graphique).
17
EXEMPLE
Cet exemple de commande change la langue en italien. Vous pouvez utiliser n'importe laquelle des langues
disponibles : ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS, CHT, ITA, JPN, KKZ,
KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR
/lang: ITA
18
EXEMPLE
Cet exemple de commande collecte la configuration du produit ESET, des informations sur les fichiers mis en
quarantaine, les journaux des événements ESET, le journal des menaces détectées ESET et les journaux d'analyse
de l'ordinateur en mode de collecte Binaire filtré ESET avec les entrées des 90 derniers jours :
start /wait ESETLogCollector.exe /age:90 /otype:fbin
/targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip
EXEMPLE
Cet exemple de commande collecte les processus en cours, le journal des événements système, le journal ESET
SysInspector, la configuration du produit ESET, le journal des événements ESET et les journaux des informations
de diagnostic de produit générales en mode de collecte Binaire d'origine du disque :
start /wait ESETLogCollector.exe /otype:obin
/targets:proc,evlogsys,sysin,prodcnf,warn,diag collected_diag_logs.zip
EXEMPLE
Cet exemple de commande collecte les journaux ERA Agent, les journaux ERA Server, la configuration ERA et les
journaux ERA Rogue Detection Sensor en mode de collecte XML filtré avec les entrées des 10 derniers jours :
start /wait ESETLogCollector.exe /age:10 /otype:xml
/targets:eraag,erasrv,eraconf,erard collected_era_logs.zip
EXEMPLE
Cet exemple de commande convertit le fichier journal binaire ESET collecté (journal d'analyse de l'ordinateur) au
format de fichier XML avec toutes les entrées (y compris les journaux marqués comme supprimés) :
start /wait ESETLogCollector.exe /bin2xml /all
C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.xmlDe même,
conversion du fichier journal d'analyse de l'ordinateur en fichier texte, avec omission des journaux marqués
comme supprimés :
start /wait ESETLogCollector.exe /bin2txt
C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.txt
Cibles disponibles
Vous trouverez ci-dessous la liste complète de toutes les cibles possibles qui peuvent être collectées à l'aide de la
ligne de commande ESET Log Collector spécifiée par l'option /Targets:.
REMARQUE
Toutes les cibles ne sont peut-être pas répertoriées dans cette liste, car les cibles disponibles pour votre système
uniquement sont répertoriées lorsque vous exécutez l'aide de la ligne de commande start /wait
ESETLogCollector.exe /? Les cibles non répertoriées ne s'appliquent pas à votre système ou configuration.
Proc
Processus en cours (handles ouverts et DLL chargées)
Drives
Informations sur les lecteurs
Devices
Informations sur les appareils
SvcsReg
Contenu de la clé de registre des services
EvLogApp
Journal des événements de l'application
EvLogSys
Journal des événements système
SetupAPI
Journaux SetupAPI
EvLogLSM
Services Terminal Server - Journal des événements opérationnels LSM
EvLogWMI
Log d'évènement opérationnel de l'activité WMI
SysIn
Journal ESET SysInspector
DrvLog
Journaux d'installation des pilotes
NetCnf
Configuration réseau
WFPFil
Filtres WFP
InstLog
Journaux du programme d'installation ESET
EfdeLogs
Journaux d'EFDE
19
EfdeLic
Données de licence EFDE
EfdeCfg
Configuration d'EFDE
EraAgLogs
Journaux ERA Agent
EraSrv
Journaux ERA Server
EraConf
Configuration ERA
EraDumps
Informations sur les processus ERA et fichiers d'image mémoire
EraRD
Journaux ERA Rogue Detection Sensor
EraMDM
Journaux ERA MDMCore
EraProx
Journaux ERA Proxy
EraTomcatCfg
Configuration d’Apache Tomcat
EraTomcatLogs Journaux d'Apache Tomcat
EraProxyCfg
Configuration du proxy HTTP Apache
EraProxyLogs
Journaux du proxy HTTP Apache
EsaLogs
Journaux d'ESA
ProdCnf
Configuration du produit ESET
DirList
Liste des fichiers des répertoires d'installation et de données ESET
Drivers
Pilotes ESET
EsetReg
Contenu de la clé de registre ESET
EsetCmpts
Composants ESET
QInfo
Informations sur les fichiers mis en quarantaine
QFiles
Fichiers en quarantaine
QSmallFiles
Petits fichiers en quarantaine
QBigFiles
Fichiers volumineux en quarantaine
Warn
Journal des événements ESET
Threat
Journal des menaces détectées ESET
OnDem
Journaux d'analyse de l'ordinateur ESET
Hips
Journal HIPS ESET
Fw
Journal de protection du réseau ESET
FwCnf
Configuration du pare-feu personnel d'ESET
Web
Journal des sites Web filtrés ESET
Paren
Journaux du contrôle parental ESET
Dev
Journal du contrôle de périphérique ESET
WCam
Journal de protection de la Webcam ESET
WebCtl
Journal du filtrage Internet ESET
OnDemDB
Journaux des analyses de base de données de serveur à la demande ESET
HyperV
Journaux des analyses du serveur ESET Hyper-V
Spam
Journal de courrier indésirable ESET
Grey
Journal des listes grises ESET
SMTPProt
Journal de protection SMTP ESET
Email
Journal de la protection du serveur de messagerie ESET
EmDiag
Journaux du traitement des courriers électroniques de diagnostic ESET
ScanCache
Base de données du cache local
20
SpamDiag
Journaux de diagnostic et de configuration antispam ESET
Diag
Journaux des informations de diagnostic de produit générales
ECPDiag
Journaux de diagnostic ECP
pcap
Journaux ESET pcap
XAg
Enregistrement des agents de transport MS Exchange
XEws
Journaux des services Web Exchange
Domino
Journaux Domino IBM_TECHNICAL_SUPPORT + notes.ini
SHPIO
ESET SHPIO.log
SP
Journaux MS SharePoint
SHPReg
Contenu de la clé de registre SharePoint
KConnCnf
Configuration de Kerio Connect
KConn
Journaux Kerio Connect
KCtrlCnf
Configuration de Kerio Control
KCtrl
Journaux Kerio Control
AllReg
Contenu complet du registre Windows
WinsockCat
Catalogue des LSP Winsock
TmpList
Liste des fichiers dans les répertoires temporaires
SchedTaks
Tâches planifiées Windows
Wmirepo
Espace de stockage WMI
WinSrvFeat
Rôles et fonctionnalités Windows Server
LastPol
Dernière politique appliquée
BlkF
Journal des fichiers bloqués ESET
SentF
Journal des fichiers envoyés ESET
OneDrive
Journaux des scans de MS OneDrive
Audit
Journaux d'audit ESET
HipsCfg
Configuration de HIPS
HomeNetCfg
Configuration des appareils domestiques
<%STR_EULA%>
21
">