Список артефактів/зібрані файли
У цьому розділі описано файли, які містить кінцевий файл .zip. Опис розділено на підрозділи залежно від типу інформації (файли й артефакти).
Розташування/ім’я файлу |
Опис |
|---|---|
metadata.txt |
Інформація про дату створення архіву .zip, версію програми ESET Log Collector, версію продукту ESET і основну інформацію про ліцензію. |
collector_log.txt |
Копія файлу журналу з графічного інтерфейсу користувача, яка містить дані, зібрані до моменту створення файлу .zip. |
Процеси Windows |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Запущені процеси (маркери відкривання та завантажені файли DLL) |
✓ |
✓ |
Windows\Processes\Processes.txt |
Текстовий файл, що містить список запущених на комп’ютері процесів. Для кожного процесу доступні наведені нижче елементи: •PID •Ідентифікатор батьківського процесу •Кількість потоків •Кількість відкритих дескрипторів, згрупованих за типом •Завантажені модулі •Обліковий запис користувача, від імені якого запущено процес •Використання пам’яті •Позначка часу початку •Час ядра та користувача •Статистика операцій вводу-виводу •Командний рядок |
Запущені процеси (маркери відкривання та завантажені файли DLL) |
✓ |
✓ |
Windows\ProcessesTree.txt |
Текстовий файл, що містить дерево запущених на комп’ютері процесів. Для кожного процесу доступні наведені нижче елементи: •PID •Обліковий запис користувача, від імені якого запущено процес •Позначка часу початку •Командний рядок |
Журнали Windows |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Журнал подій програми |
✓ |
✓ |
Windows\Logs\Application.xml |
Журнали подій програм Windows у настроюваному форматі XML. Файл містить повідомлення лише за останні 30 днів. |
Журнал системних подій |
✓ |
✓ |
Windows\Logs\System.xml |
Системний журнал подій Windows у настроюваному формат XML. Файл містить повідомлення лише за останні 30 днів. |
Журнал подій безпеки |
✓ |
✓ |
Windows\Logs\Security.evtx |
Файл журналу подій безпеки Windows. Файл містить повідомлення лише за останні 30 днів. |
Служби терміналів: журнал активних подій LSM* |
✓ |
✓ |
Windows\Logs\LocalSessionManager-Operational.evtx |
Журнал подій Windows, що містить інформацію про сеанси RDP. |
Служби терміналу: диспетчер віддалених підключень* |
✗ |
✓ |
Windows\Logs\RemoteConnectionManager-Operational.evtx |
Журнал подій Windows, який містить відомості про підключення до віддаленого робочого стола Windows. |
Журнали інсталяції драйверів |
✓ |
✗ |
Windows\Logs\catroot2_dberr.txt |
Інформація про каталоги, додані у сховище каталогів під час інсталяції драйвера. |
Журнали SetupAPI* |
✓ |
✗ |
Windows\Logs\SetupAPI\setupapi*.log |
Текстові журнали додавання пристроїв та інсталяції програм. |
Операційний журнал подій WMI |
✓ |
✓ |
Windows\Logs\WMI-Activity.evtx |
Журнал подій Windows, що містить дані відстеження активності WMI. Файл містить повідомлення лише за останні 30 днів. |
Журнал подій програми |
✓ |
✓ |
Windows\Logs\Application.evtx |
Файл журналу подій програм Windows. Файл містить повідомлення лише за останні 30 днів. |
Журнал системних подій |
✓ |
✓ |
Windows\Logs\System.evtx |
Файл системного журналу подій Windows. Файл містить повідомлення лише за останні 30 днів. |
Журнал подій Windows PowerShell |
✗ |
✓ |
Windows\Logs\Windows-PowerShell.evtx |
Файл журналу подій Windows, який містить відомості про операції Windows PowerShell. |
* ОС Windows Vista й новіших версій
Конфігурація системи |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Інформація про диски |
✓ |
✓ |
Windows\drives.txt Windows\volumes.txt |
Текстовий файл, який містить інформацію про диски й томи. |
Інформація про пристрої |
✓ |
✓ |
Windows\devices\*.txt Windows\Devices\deviceTree.json |
Кілька текстових файлів з інформацією про класи та інтерфейси на пристроях. |
Вміст розділу реєстру "Служби" |
✓ |
✗ |
Windows\Services.reg |
Вміст розділу реєстру KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Збір цього розділу може бути корисним в разі проблем із драйвером. |
Конфігурація мережі |
✓ |
✓ |
Config\network.txt |
Текстовий файл, який містить конфігурацію мережі (результат виконання команди ipconfig /all). |
Оновлення Windows |
✓ |
✗ |
Windows Updates\WinUpdates.txt |
Текстовий файл, який містить інформацією про оновлення Windows. |
Історія PowerShell |
✗ |
✓ |
Windows\PSHistory\{profileName}\*.* |
Текстові файли з історією PowerShell у каталозі %appdata%\Microsoft\Windows\PowerShell\PSReadline\ для кожного профілю. Історія збирається для PS версії 5 і новіших, де PSReadLine має бути доступним за замовчуванням. |
Інформація про .NET Framework |
|
|
Windows\DotNET_info.txt |
Текстовий файл, який містить інформацію про інстальовані версії .NET Framework і .NET CLR. |
Журнал ESET SysInspector |
✓ |
✓ |
Config\SysInspector.esil |
Журнал SysInspector. Натомість він може містити формат XML SysInspector залежно від версії використовуваної програми SysInspector. |
Каталог Winsock LSP |
✓ |
✓ |
Config\WinsockLSP.txt |
Вивід команди netsh winsock show catalog. |
Фільтри WFP* |
✓ |
✓ |
Config\WFPFilters.xml |
Конфігурація фільтрів WFP у форматі XML. |
Повний вміст реєстру Windows |
✗ |
✓ |
Windows\Registry\* |
Декілька двійкових файлів, які містять дані реєстру Windows. |
Список файлів у тимчасових папках |
✓ |
✓ |
Windows\TmpDirs\*.txt |
Зібрано декілька текстових файлів із вмістом тимчасових каталогів системного користувача %windir%/temp, %TEMP% та каталогів %TMP%. |
Заплановані завдання Windows |
✗ |
✓ |
Windows\Scheduled Tasks\*.* |
Різні файли xml зі всіма завданнями планувальника завдань Windows, що допомагає визначити шкідливе програмне забезпечення, яке використовує планувальник завдань. Оскільки файли розташовані в підпапках, виконується збір всієї структури. |
Репозиторій WMI |
✗ |
✓ |
Windows\WMI Repository\*.* |
Різні двійкові файли, які містять дані бази даних WMI (метаінформація, визначення та класи WMI статичних даних). Збирання цих файлів може допомогти визначити шкідливе програмне забезпечення, яке використовує WMI для забезпечення невразливості (наприклад, Turla). Оскільки файли WMI можуть міститися в підпапках, виконується збір всієї структури. |
Бази даних Shim |
✗ |
✓ |
Windows\Shim Databases\*.sdb |
Файли бази даних оболонки розташовані в каталозі %SystemRoot%\apppatch. |
Попередній вибір файлів |
✗ |
✓ |
Windows\Prefetch files\*.sdb |
Файли попередньої вибірки розташовані в каталозі %SystemRoot%\Prefetch. |
Параметри групової політики |
✓ |
✓ |
Windows\GP\gpresult.html Windows\GP\gpresult_Computer.log Windows\GP\gpresult_User.log |
Звіт, створений інструментом gpresult, містить усі дані щодо отриманого набору політик для віддалених користувачів і комп’ютерів. |
Статус Microsoft Defender* |
✓ |
✓ |
Windows\Defender\service.txt |
Текстовий файл, який містить інформацію про службу Microsoft Defender. |
Ролі й функції Windows Server* |
✓ |
✗ |
Windows\server_features.txt |
Текстовий файл, який містить дерево всіх функцій Windows Server. Кожна функція містить такі відомості: •Стан інсталяції •Локалізоване ім’я •Кодове ім’я •Стан (доступно в Microsoft Windows Server 2012 і новіших версій) |
* Microsoft Windows 7 або Microsoft Windows Server 2008 R2 і новіших версій / служба антивірусу Microsoft Defender
Інсталятор ESET |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Журнали інсталятора ESET |
✓ |
✗ |
ESET\Installer\*.log |
Журнали інсталяції, створені під час інсталяції продуктів ESET NOD32 Antivirus та ESET Smart Security 10 Premium. |
ESET PROTECT On-prem |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Журнали сервера ESET PROTECT |
✓ |
✗ |
ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip |
Створення журналів продукту сервера в ZIP-архіві. Архів містить журнали трасування, стану й останніх помилок. |
Журнали агента ESET PROTECT |
✓ |
✗ |
ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip |
Створення журналів продукту агента в ZIP-архіві. Архів містить журнали трасування, стану й останніх помилок. |
дані про процеси ESET PROTECT та файли дампа |
✗ |
✗ |
ERA\Server\Process and old dump\RemoteAdministratorServerDiagnostic<datetime>.zip |
Дампи серверних процесів. |
дані про процеси ESET PROTECT та файли дампа |
✗ |
✗ |
ERA\Agent\Process and old dump\RemoteAdministratorAgentDiagnostic<datetime>.zip |
Дампи процесів агента. |
ESET PROTECT конфігурація |
✓ |
✗ |
ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip |
Файли з інформацією про конфігурацію сервера та програми в ZIP-архіві. |
ESET PROTECT конфігурація |
✓ |
✗ |
ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip |
Файли з інформацією про конфігурацію агента та програми в ZIP-архіві. |
Журнали ESET PROTECT Rogue Detection Sensor |
✓ |
✗ |
ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip |
ZIP-архів, що містить журнали трасування, стану й останніх помилок RD Sensor, а також конфігурацію, дампи й фали із загальною інформацією. |
Журнали ESET PROTECT MDMCore |
✓ |
✗ |
ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip |
ZIP-архів, що містить журнали трасування, стану й останніх помилок MDMCore, а також дампи й фали із загальною інформацією. |
Журнали проксі-сервера ESET PROTECT |
✓ |
✗ |
ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip |
ZIP-архів, що містить журнали трасування, стану й останніх помилок проксі-сервера ERA, а також конфігурацію, дампи й файли із загальною інформацією. |
База даних агента ESET PROTECT |
✓ |
✗ |
ERA\Agent\Database\data.db |
Файл бази даних ESET PROTECT Agent. |
Конфігурація Apache Tomcat |
✓ |
✗ |
ERA\Apache\Tomcat\conf\*.* |
Файли конфігурації Apache Tomcat, копію файлу server.xml без конфіденційної інформації. |
Журнали Apache Tomcat |
✓ |
✗ |
ERA\Apache\Tomcat\logs\*.log ERA\Apache\Tomcat\EraAppData\logs\*.log ERA\Apache\Tomcat\EraAppData\WebConsole\*.log |
Журнали Apache Tomcat у текстовому форматі, розташовані в каталозі інсталяції або програми. Містить також журнали WebConsole. |
Конфігурація проксі-сервера Apache HTTP |
✓ |
✗ |
ERA\Apache\Proxy\conf\httpd.conf |
Файл конфігурації проксі-сервера Apache HTTP |
Журнали проксі-сервера Apache HTTP |
✓ |
✗ |
ERA\Apache\Proxy\logs\*.log |
Знайдено журнали проксі-сервера Apache HTTP у текстовому форматі. |
*Сервер ESET PROTECT або агент ESET PROTECT
ESET Bridge |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Конфігурація ESET Bridge |
✓ |
✗ |
ESET Bridge\pkgid |
Файл конфігурації розташовано в каталозі інсталяції ESET Bridge. |
Журнали ESET Bridge |
✓ |
✗ |
ESET Bridge\logs\*.* |
Файли журналу, розташовані в каталозі даних програми ESET Bridge. |
Дампи ESET Bridge |
✓ |
✗ |
ESET Bridge\dumps\*.* |
Файли дампу ESET Bridge. |
Журнали Nginx |
✓ |
✗ |
ESET Bridge\Nginx\logs\*.log ESET Bridge\Nginx\conf\*.* |
Файли журналів Nginx (.key і .pfx не збираються). |
Плагін ESET Direct Endpoint Management |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
eRMMI |
✓ |
✗ |
ERMMI\data\*.* |
Файли даних програм, розташовані в каталозі ERMMI. |
Плагін робочої станції для журналів Connectwise Automate |
✓ |
✗ |
ERMMI\EEPCA\Logs\*.* |
Плагін робочої станції для файлів журналу Connectwise Automate. |
Плагін робочої станції для двійкових файлів Connectwise Automate |
✓ |
✗ |
ERMMI\EEPCA\bin\*.* |
Плагін робочої станції для Connectwise Automate у двійковому форматі (за виключенням виконуваних файлів .msi та .exe). |
Журнали ERMMI |
✓ |
✗ |
ERMMI\logs\*.* |
Файли журналу, розташовані в каталозі інсталяції ERMMI. |
Двійкові файли ERMMI |
✓ |
✗ |
ERMMI\bin\*.* |
Двійкові файли в каталозі інсталяції ERMMI (окрім виконуваних файлів .msi та .exe). |
Конфігурація ESET |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Конфігурація продукту ESET |
✓ |
✓ |
info.xml |
XML-файл із докладною інформацією про продукт ESET, інстальований у системі. Містить основну інформацію про систему, інстальований продукт і список його модулів. |
Конфігурація продукту ESET |
✓ |
✓ |
versions.csv |
Починаючи з версії 4.0.3.0, цей файл (без жодних залежностей) завжди включено до списку об’єктів, що збираються. Він містить відомості про інстальований продукт. Для включення файлу versions.csv він має бути наявним в каталозі ESET AppData. |
Конфігурація продукту ESET |
✓ |
✓ |
features_state.txt |
Містить інформацію про функції продукту ESET та їхні стани ("Активна", "Неактивна", "Не інтегрована"). Файл завжди збирається і не прив’язаний до жодного доступного для вибору артефакту. |
Конфігурація продукту ESET |
✓ |
✓ |
Configuration\product_conf.xml |
Файл XML з експортованою конфігурацією продукту. |
Перелік файлів у каталозі даних та інсталяції ESET |
✓ |
✓ |
ESET\Config\data_dir_list.txt |
Текстовий файл, який містить список файлів у каталозі ESET AppData, а також в усіх його підкаталогах. |
Перелік файлів у каталозі даних та інсталяції ESET |
✓ |
✓ |
ESET\Config\install_dir_list.txt |
Текстовий файл, який містить список файлів у каталозі ESET Install, а також в усіх його підкаталогах. |
Драйвери ESET |
✓ |
✓ |
ESET\Config\drivers.txt |
Інформації про інстальовані драйвери ESET. |
Конфігурація персонального брандмауера ESET |
✓ |
✓ |
ESET\Config\EpfwUser.dat |
Копіювання файлу з конфігурацією персонального брандмауера ESET. |
Майстер усунення неполадок брандмауера ESET |
✓ |
✓ |
ESET\Config\epfw_troubleshooting_wizard.xml |
Файл XML, який містить інформацію про заблоковані локальні програми й віддалені пристрої. |
Тимчасовий чорний список IP-адрес брандмауера ESET |
✓ |
✓ |
ESET\Config\epfw_temporary_ip_address_blacklist.xml |
Файл XML, який містить інформацію про тимчасово заблоковані IP-адреси |
Вміст ключа ESET у реєстрі |
✓ |
✓ |
ESET\Config\ESET.reg |
Включає вміст ключа в реєстрі HKLM\SOFTWARE\ESET. |
Каталог Winsock LSP |
✓ |
✓ |
Config/WinsockLSP.txt |
Вивід команди netsh winsock show catalog. |
Востаннє застосована політика |
✓ |
✓ |
ESET\Config\lastPolicy.dat |
Політика, застосована ESET PROTECT. |
Компоненти ESET |
✓ |
✓ |
ESET\Config\msi_features.txt |
Зібрана інформація про доступні компоненти інсталятора MSI продукту ESET. |
Ліцензія ESET |
✓ |
✓ |
ESET\Config\License\*.* |
Файли ліцензій інстальованого продукту ESET. |
Конфігурація HIPS |
✓ |
✓ |
ESET\Config\HipsRules.bin |
Дані правил системи запобігання вторгненням (HIPS). |
Конфігурація модуля "Інспектор мережі" |
✓ |
✓ |
ESET\Config\epfwdata.bin |
Дані конфігурації модуля "Інспектор мережі". |
Конфігурація функції "Домашня мережа" |
✓ |
✓ |
ESET\Config\homenet.dat |
Дані функції "Домашня мережа" |
Карантин |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Відомості про файли в карантиніv |
✓ |
✓ |
ESET\Quarantine\quar_info.txt |
Створення текстового файлу зі списком об’єктів, доданих до карантину. |
Невеликі файли в карантині (< 250 КБ) |
✓ |
✗ |
ESET\Quarantine\*.*(< 250KB) |
Файли розміром менше 250 КБ в карантині. |
Великі файли в карантині (> 250 КБ) |
✗ |
✓ |
ESET\Quarantine\*.*(> 250KB) |
Файли розміром більше 250 КБ в карантині. |
Підозрілий файл (зібраний за допомогою артефакту журналу ESET Inspect On-prem) |
✗ |
✓ |
Config\SysInspector.esil |
Усі файли, які ESET SysInspector визначає як підозрілі. |
Журнали ESET |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Журнал подій ESET |
✓ |
✓ |
ESET\Logs\Common\warnlog.dat |
Журнал подій продукту ESET у двійковому форматі. |
Журнал виявлених загроз ESET |
✓ |
✓ |
ESET\Logs\Common\virlog.dat |
Журнал виявлених загроз ESET у двійковому форматі. |
Журнали сканування комп’ютера ESET |
✗ |
✓ |
ESET\Logs\Common\eScan\*.dat |
Журнали сканування комп’ютера ESET у двійковому форматі. |
Журнал ESET HIPS* |
✓ |
✓ |
ESET\Logs\Common\hipslog.dat |
Журнал ESET HIPS у двійковому форматі. |
Журнали батьківського контролю ESET* |
✓ |
✓ |
ESET\Logs\Common\parentallog.dat |
Журнал батьківського контролю ESET у двійковому форматі. |
Журнал контролю пристроїв ESET* |
✓ |
✓ |
ESET\Logs\Common\devctrllog.dat |
Журнал контролю пристроїв ESET у двійковому форматі. |
Журнал для захисту веб-камери ESET* |
✓ |
✓ |
ESET\Logs\Common\webcamlog.dat |
Журнал для захисту веб-камери ESET у двійковому форматі. |
Журнал Захисту онлайн-платежiв ESET |
✓ |
✓ |
ESET\Logs\Common\bpplog.dat |
Журнал захисту онлайн-платежів ESET у двійковому форматі. |
Журнал заблокованих файлів ESET |
✓ |
✓ |
ESET\Logs\Common\blocked.dat |
Журнали заблокованих файлів ESET у двійковому форматі. |
Журнал надісланих файлів ESET |
✓ |
✓ |
ESET\Logs\Common\sent.dat |
Журнали надісланих файлів ESET у двійковому форматі. |
Журнал аудиту ESET |
✓ |
✓ |
ESET\Logs\Common\audit.dat ESET\Logs\Common\audit\*.* |
Журнали аудиту ESET у двійковому форматі. |
Журнал функції ESET "Керування вразливостями й виправленнями" |
✓ |
✓ |
ESET\Logs\Common\vapmlog.dat |
Журнал функції ESET "Керування вразливостями й виправленнями" у двійковому форматі. |
* Параметр доступний, лише якщо файл існує.
Журнали продуктів ESET Server |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Журнали сканування бази даних сервера за запитом ESET |
✓ |
✓ |
ESET\Logs\Common\ServerOnDemand\*.dat |
Журнали сканування бази даних сервера за запитом ESET у двійковому форматі. |
Журнали сканування сервера Hyper-V ESET |
✓ |
✓ |
ESET\Logs\Common\HyperVOnDemand\*.dat |
Журнали сканування сервера ESET Hyper-V в двійковому форматі. |
Журнали сканування ESET OneDrive |
✓ |
✓ |
ESET\Logs\Common\O365OnDemand\*.dat |
Журнали сканування ESET OneDrive у двійковому форматі. |
Мережеві журнали ESET |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Журнал захисту мережі ESET* |
✓ |
✓ |
ESET\Logs\Net\epfwlog.dat |
Журнал захисту мережі ESET у двійковому форматі. |
Журнал відфільтрованих веб-сайтів ESET* |
✓ |
✓ |
ESET\Logs\Net\urllog.dat |
Журнал відфільтрованих веб-сайтів ESET у двійковому форматі. |
Журнал веб-контролю ESET* |
✓ |
✓ |
ESET\Logs\Net\webctllog.dat |
Журнал веб-контролю ESET у двійковому форматі. |
Журнали PCAP ESET |
✓ |
✗ |
ESET\Logs\Net\EsetProxy*.pcapng |
Копіювання журналів PCAP ESET. |
* Параметр доступний, лише якщо файл існує.
Журнали діагностики ESET |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Локальна база даних кеша |
✗ |
✓ |
ESET\Diagnostics\local.db |
База даних відсканованих файлів ESET. |
Загальні журнали діагностики продукту |
✓ |
✗ |
ESET\Diagnostics\*.* |
Файли (міні-дампи) з папки діагностичних даних ESET. |
Журнали діагностики ECP |
✓ |
✗ |
ESET\Diagnostics\ECP\*.* |
Журнали діагностики протоколу зв’язку ESET створюються, якщо виникають проблеми з активацією продукту та зв’язком із серверами активації. |
Журнали діагностики EPNS |
✓ |
✗ |
ESET\Diagnostics\*.* |
Журнали діагностики служби push-сповіщень ESET створюються, якщо виникають проблеми. |
Журнали налагодження для вразливостей і керування виправленнями |
✓ |
✗ |
ESET\Diagnostics\Vapm\*.* |
Файли журналів діагностики для функції ESET "Виявлення вразливостей і керування виправленнями". |
Журнали діагностики ESET Cluster |
✓ |
✗ |
ESET\Diagnostics\Cluster\*.* |
Файли журналу діагностики ESET Cluster, зокрема ті, які містяться в тимчасовому каталозі системи, створеному під час інсталяції або оновлення продукту, виконаних за допомогою функції ESET Cluster. |
Оновлення |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Журнали оновлення продукту |
✓ |
✗ |
ESET\Update\MicroPcu\*.* |
Файли оновлення μ-PCU продукту ESET. |
Оновлення інформації про знімок екрана |
✓ |
✗ |
ESET\Config\db.xml |
Файл XML знімка оновлення резервних копій, який містить інформацію про модулі до певної дати. |
ESET Secure Authentication |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Журнали ESA |
✓ |
✗ |
ESA\*.log ESA\logs\*.* |
Журнали, експортовані з програми ESET Secure Authentication. |
Журнали ESA |
✓ |
✗ |
ESA\logs\elastic\*.* |
Додаткові файли журналу ESET Secure Authentication. |
Журнали агента синхронізації ESA |
✓ |
✗ |
ESA\Synchronization Agent\*.* |
Журнали, експортовані з агента синхронізації ESET Secure Authentication. Файли збираються, починаючи з версії 4.9.0.0. |
ESET Inspect On-prem |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Журнали сервера EI |
✓ |
✗ |
EEI\Server\Logs\*.log |
Текстові журнали продукту Inspect Server. |
Журнали EI Connector |
✓ |
✗ |
EEI\Agent\Logs\*.log
|
Текстові журнали продукту Inspect Connector. |
Конфігурація сервера EI |
✓ |
✗ |
EEI\Server\eiserver.ini |
Файл .ini, що містить конфігурацію продукту Inspect Server. |
Конфігурація EI Connector
|
✓ |
✗ |
EEI\Agent\eiconnector.ini |
Файл .ini, що містить конфігурацію продукту Inspect Connector. |
Політика сервера EI |
✓ |
✗ |
EEI\Server\eiserver.policy.ini |
Файл .ini, що містить політику продукту Inspect Server. |
Політика EI Connector |
✓ |
✗ |
EEI\Agent\eiconnector.policy.ini |
Файл .ini, що містить політику продукту Inspect Connector. |
Сертифікати сервера EEI |
✓ |
✗ |
EEI\Server\Certificates\*.* |
Містить файли сертифікатів, які використовуються продуктом Inspect Server. Оскільки файли розташовані в підпапках, виконується збір всієї структури. |
Сертифікати EEI Connector |
✓ |
✗ |
EEI\Agent\Certificates\*.* |
Містить файли сертифікатів, які використовуються продуктом Inspect Connector. Оскільки файли розташовані в підпапках, виконується збір всієї структури. |
Дампи сервера EI |
✓ |
✗ |
EEI\Server\Diagnostics\*.* |
Файли дампа продукту Inspect Server. |
Конфігурація сервера MySQL |
✓ |
✗ |
EI\My SQL\my.ini |
Файл .ini, що містить конфігурацію MySQL Server, використовується продуктом ESET Inspect On-prem Server. |
Журнали сервера MySQL |
✓ |
✗ |
EEI\My SQL\EEI.err |
Текстовий журнал помилок MySQL Server, що використовується ESET Inspect On-prem Server. |
ESET Full Disk Encryption |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Журнали EFDE |
✓ |
✗ |
EFDE\AIS\Logs\*.* EFDE\Core\*.log |
Журнали (AIS і Core), експортовані з ESET Full Disk Encryption. |
Дані ліцензії EFDE |
✓ |
✗ |
EFDE\AIS\Licence\*.* |
Файли даних ліцензії ESET Full Disk Encryption. |
Конфігурація EFDE |
✓ |
✗ |
EFDE\AIS\lastpolicy.dat |
Містить конфігурацію ESET Full Disk Encryption. |
ESET VPN |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Журнали клієнтських програм |
✓ |
✗ |
EVPN\ClientApp\*.tx |
Журнали клієнтських програм EVPN. |
Журнали служб |
✓ |
✗ |
EVPN\Service\*.log |
Журнали служби EVPN. |
Таблиця маршрутизації мережі |
✓ |
✗ |
EVPN\routing_table.txt |
Вивід на консолі для утиліти route, який містить таблицю маршрутизації. |
Журнали ESET Mail (ESET Mail Security for Exchange, ESET Mail Security for Domino) |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Журнал спаму ESET |
✓ |
✗ |
ESET\Logs\Email\spamlog.dat |
Журнал спаму ESET у двійковому форматі. |
Журнал сірого списку ESET |
✓ |
✗ |
ESET\Logs\Email\greylistlog.dat |
Журнал сірого списку ESET у двійковому форматі. |
Журнал захисту SMTP ESET |
✓ |
✗ |
ESET\Logs\Email\smtpprot.dat |
Журнал захисту SMTP ESET у двійковому форматі. |
Журнал захисту поштового сервера ESET |
✓ |
✗ |
ESET\Logs\Email\mailserver.dat |
Журнал захисту поштового сервера ESET у двійковому форматі. |
Журнали обробки діагностичних електронних листів ESET |
✓ |
✗ |
ESET\Logs\Email\MailServer\*.dat |
Журнал обробки діагностичних електронних листів ESET у двійковому форматі, безпосередньо скопійований із диска. |
Журнал спаму ESET* |
✓ |
✗ |
ESET\Logs\Email\spamlog.dat |
Журнал спаму ESET у двійковому форматі. |
Конфігурація та журнали діагностики антиспам-модуля ESET |
✓ |
✗ |
ESET\Logs\Email\Antispam\antispam.*.log ESET\Config\Antispam\*.* |
Копіювання конфігурації та журналів діагностики антиспам-модуля ESET. |
* Параметр доступний, лише якщо файл існує.
Журнали ESET SharePoint (ESET Security for SharePoint) |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
ESET SHPIO.log |
✓ |
✗ |
ESET\Log\ESHP\SHPIO.log |
Журнал діагностики ESET від утиліти SHPIO.exe. |
Журнали залежно від продукту: для окремих продуктів доступні додаткові параметри.
Domino (ESET Mail Security for Domino) |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Журнали Domino IBM_TECHNICAL_SUPPORT + notes.ini |
✓ |
✗ |
LotusDomino\Log\notes.ini |
Файл конфігурації IBM Domino. |
Журнали Domino IBM_TECHNICAL_SUPPORT + notes.ini |
✓ |
✗ |
LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.* |
Журнали IBM Domino, не старіші за 30 днів. |
MS SharePoint (ESET Security for SharePoint) |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Журнали MS SharePoint |
✓ |
✗ |
SharePoint\Logs\*.log |
Журнали MS SharePoint, не старіші за 30 днів. |
Вміст ключа SharePoint у реєстрі |
✓ |
✗ |
SharePoint\WebServerExt.reg |
Включає вміст ключа в реєстрі HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions. Доступний, тільки коли інстальовано ESET Security for SharePoint. |
MS Exchange (ESET Mail Security for Exchange) |
||||
|---|---|---|---|---|
Ім’я артефакту |
Профіль журналу |
Розташування/ім’я файлу |
Опис |
|
За замовчуванням |
Виявлення загрози |
|||
Реєстрація агентів транспорту MS Exchange |
✓ |
✗ |
Exchange\agents.config |
config file для реєстрації агентів транспорту MS Exchange. Для Microsoft Exchange Server 2007 і новіших версій. |
Реєстрація агентів транспорту MS Exchange |
✓ |
✗ |
Exchange\sinks_list.txt |
Дамп реєстрації приймачів подій MS Exchange. Для Microsoft Exchange Server 2000 і 2003. |
Журнали MS Exchange EWS |
✓ |
✗ |
Exchange\EWS\*.log |
Колекція журналів EWS Exchange Server. |