ESET 联机帮助

搜索 简体字
选择主题

项目列表/收集的文件

本节介绍包含在生成的 .zip 文件中的文件。说明将根据信息类型(文件和项目)分为若干子部分。

位置 / 文件名

说明

metadata.txt

有关创建 .zip 压缩文件的日期、ESET Log Collector 版本、ESET 产品版本的信息和基本许可信息。

collector_log.txt

GUI 日志文件的副本,包含直到创建 .zip 文件之前的数据。

Windows 进程

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

运行进程

(开放式句柄和已加载的 DLL)

Windows\Processes\Processes.txt

包含计算机上的运行进程列表的文本文件。对于每个进程,将打印以下项:

PID

父 PID

线程数

按类型分组的开放式句柄数

加载的模块

运行进程的用户帐户

内存使用量

开始时间戳

内核和用户时间

I/O 统计信息

命令行

运行进程

(开放式句柄和已加载的 DLL)

Windows\ProcessesTree.txt

包含计算机上的运行进程树的文本文件。对于每个进程,将打印以下项:

PID

运行进程的用户帐户

开始时间戳

命令行

Windows 日志

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

应用程序事件日志

Windows\Logs\Application.xml

包含自定义 XML 格式的 Windows 应用程序事件日志。仅包含过去 30 天的消息。

系统事件日志

Windows\Logs\System.xml

包含自定义 XML 格式的 Windows 系统事件日志。仅包含过去 30 天的消息。

安全事件日志

Windows\Logs\Security.evtx

Windows 安全事件日志文件。仅包含过去 30 天的消息。

终端服务 - LSM 操作事件日志*

Windows\Logs\LocalSessionManager-Operational.evtx

包含有关 RDP 会话信息的 Windows 事件日志。

终端服务 - 远程连接管理器*

Windows\Logs\RemoteConnectionManager-Operational.evtx

包含 Windows 远程桌面连接信息的 Windows 事件日志。

驱动程序安装日志

Windows\Logs\catroot2_dberr.txt

有关在安装驱动程序时添加到“catstore”的目录的信息。

SetupAPI 日志*

Windows\Logs\SetupAPI\setupapi*.log

设备和应用程序安装文本日志。

WMI Activity 操作事件日志

Windows\Logs\WMI-Activity.evtx

包含 WMI Activity 跟踪数据的 Windows 事件日志。仅包含过去 30 天的消息。

应用程序事件日志

Windows\Logs\Application.evtx

Windows 应用程序事件日志文件。仅包含过去 30 天的消息。

系统事件日志

Windows\Logs\System.evtx

Windows 系统事件日志文件。仅包含过去 30 天的消息。

Windows PowerShell 事件日志

Windows\Logs\Windows-PowerShell.evtx

包含 Windows PowerShell 操作记录详细信息的 Windows 事件日志文件。

*Windows Vista 和更高版本

系统配置

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

驱动器信息

Windows\drives.txt

Windows\volumes.txt

包含有关磁盘驱动器和卷的信息的文本文件。

设备信息

Windows\devices\*.txt

Windows\Devices\deviceTree.json

包含有关设备的类和接口信息的多个文本文件。

服务注册表键内容

Windows\Services.reg

KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 的注册表项内容。收集此项可能有助于解决驱动程序问题。

网络配置

Config\network.txt

包含网络配置的文本文件(执行 ipconfig /all 的结果)。

Windows 更新

Windows Updates\WinUpdates.txt

包含有关 Windows 更新信息的文本文件。

PowerShell 历史记录

Windows\PSHistory\{profileName}\*.*

%appdata%\Microsoft\Windows\PowerShell\PSReadline\ 中每个配置文件下具有 PowerShell 历史记录的文本文件。收集 PS 版本 5 及以上版本的历史记录,其中 PSReadLine 应默认可用。

.NET Framework 信息

 

 

Windows\DotNET_info.txt

包含有关已安装的 .NET Framework 和 .NET CLR 版本信息的文本文件。

ESET SysInspector 日志

Config\SysInspector.esil

SysInspector 日志。它可能改为包含 SysInspector XML 格式,具体取决于所使用的 SysInspector 应用的版本。

Winsock LSP 目录

Config\WinsockLSP.txt

netsh winsock show catalog 命令的输出。

WFP 过滤器*

Config\WFPFilters.xml

XML 格式的 WFP 过滤器配置。

完整的 Windows 注册表内容

Windows\Registry\*

包含 Windows 注册表数据的多个二进制文件。

临时目录中的文件列表

Windows\TmpDirs\*.txt

收集的多个文本文件,包含系统用户临时目录、%windir%/temp、%TEMP% 和 %TMP% 目录的内容。

Windows 计划任务

Windows\Scheduled Tasks\*.*

包含 Windows 任务计划程序中的所有任务的多个 xml 文件,可帮助检测将攻击 Task Scheduler 的恶意软件。因为文件位于子文件夹中,因此将收集整个结构。

WMI 库

Windows\WMI Repository\*.*

多个包含 WMI 数据库数据(元信息、定义和 WMI 类的静态数据)的二进制文件。收集这些文件可能帮助识别将 WMI 用于持续性的恶意软件(例如 Turla)。因为 WMI 文件可能位于子文件夹中,因此将收集整个结构。

Shim 数据库

Windows\Shim Databases\*.sdb

位于 %SystemRoot%\apppatch 目录中的 Shim 数据库文件。

预回迁文件

Windows\Prefetch files\*.sdb

位于 %SystemRoot%\Prefetch 目录中的预回迁文件。

组策略设置

Windows\GP\gpresult.html

Windows\GP\gpresult_Computer.log

Windows\GP\gpresult_User.log

gpresult 工具生成的报告包含有关远程用户和计算机的策略结果集的所有信息。

Microsoft Defender 状态*

Windows\Defender\service.txt

包含有关 Microsoft Defender 服务的信息的文本文件。

Windows Server 角色和功能*

Windows\server_features.txt

包含所有 Windows Server 功能树的文本文件。每个功能包含以下信息:

已安装的状态

本地化的名称

代码名称

状态(可用在 Microsoft Windows Server 2012 及更高版本上)

*Microsoft Windows 7 或 Microsoft Windows Server 2008 R2 及更高版本/Microsoft Defender 防病毒服务

ESET 安装程序

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

ESET 安装程序日志

ESET\Installer\*.log

安装 ESET NOD32 Antivirus 和 ESET Smart Security 10 Premium 产品期间创建的安装日志。

ESET PROTECT On-prem

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

ESET PROTECT 服务器日志

ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip

在 ZIP 压缩文件中创建服务器产品日志。它包含跟踪、状态和上一个错误日志。

ESET PROTECT 服务器代理日志

ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip

在 ZIP 压缩文件中创建服务器代理产品日志。它包含跟踪、状态和上一个错误日志。

ESET PROTECT 进程信息和转储

ERA\Server\Process and old dump\RemoteAdministratorServerDiagnostic<datetime>.zip

服务器进程转储。

ESET PROTECT 进程信息和转储

ERA\Agent\Process and old dump\RemoteAdministratorAgentDiagnostic<datetime>.zip

服务器代理进程转储。

ESET PROTECT 配置

ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip

ZIP 压缩文件中的服务器配置和应用程序信息文件。

ESET PROTECT 配置

ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip

ZIP 压缩文件中的服务器代理配置和应用程序信息文件。

ESET PROTECT Rogue Detection Sensor 日志

ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip

包含 RD Sensor 跟踪日志、上一个错误日志、状态日志、配置、转储和常规信息文件的 ZIP 文件。

ESET PROTECT MDMCore 日志

ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip

包含 MDMCore 跟踪日志、上一个错误日志、状态日志、转储和常规信息文件的 ZIP 文件。

ESET PROTECT 代理日志

ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip

包含 ERA 代理跟踪日志、上一个错误日志、状态日志、配置、转储和常规信息文件的 ZIP 文件。

ESET PROTECT 服务器代理数据库

ERA\Agent\Database\data.db

ESET PROTECT 服务器代理数据库文件。

Apache Tomcat 配置

ERA\Apache\Tomcat\conf\*.*

Apache Tomcat 配置文件,它包含不带敏感信息的 server.xml 文件副本。

Apache Tomcat 日志

ERA\Apache\Tomcat\logs\*.log

ERA\Apache\Tomcat\EraAppData\logs\*.log

ERA\Apache\Tomcat\EraAppData\WebConsole\*.log

文本格式的 Apache Tomcat 日志位于 Apache Tomcat 安装或应用程序目录中。它还包含 WebConsole 日志。

Apache HTTP 代理配置

ERA\Apache\Proxy\conf\httpd.conf

Apache HTTP 代理配置文件。

Apache HTTP 代理日志

ERA\Apache\Proxy\logs\*.log

文本格式的 Apache HTTP 代理日志所在位置。

*ESET PROTECT 服务器或 ESET PROTECT 服务器代理

ESET Bridge

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

ESET Bridge 配置

ESET Bridge\pkgid

位于 ESET Bridge 安装目录中的配置文件。

ESET Bridge 日志

ESET Bridge\logs\*.*

位于 ESET Bridge 应用程序数据目录中的日志文件。

ESET Bridge 转储

ESET Bridge\dumps\*.*

ESET Bridge 转储文件。

Nginx 日志

ESET Bridge\Nginx\logs\*.log

ESET Bridge\Nginx\conf\*.*

Nginx 日志文件(不会收集 .key 和 .pfx)。

ESET Direct Endpoint Management 插件

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

eRMMI

ERMMI\data\*.*

位于 ERMMI 目录中的应用程序数据文件。

用于 Connectwise Automate 的端点插件日志

ERMMI\EEPCA\Logs\*.*

用于 Connectwise Automate 的端点插件日志文件。

用于 Connectwise Automate 的端点插件二进制文件

ERMMI\EEPCA\bin\*.*

用于 Connectwise Automate 的端点插件二进制文件(.msi 和 .exe 可执行文件除外)。

ERMMI 日志

ERMMI\logs\*.*

位于 ERMMI 安装目录中的日志文件。

ERMMI 二进制文件

ERMMI\bin\*.*

位于 ERMMI 安装目录中的二进制文件(.msi 和 .exe 可执行文件除外)。

ESET 配置

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

ESET 产品配置

info.xml

详细介绍系统上安装的 ESET 产品的信息性 XML 文件。它包含基本的系统信息、安装的产品信息和产品模块列表。

ESET 产品配置

versions.csv

因为在版本 4.0.3.0 中,始终包含该文件(无任何相关性)。它包含已安装的产品信息。versions.csv 必须存在于要包含的 ESET AppData 目录中。

ESET 产品配置

features_state.txt

有关 ESET 产品功能及其状态(活动、非活动、未集成)的信息。将始终收集该文件,且它不与任何可选择的项目绑定。

ESET 产品配置

Configuration\product_conf.xml

带有导出的产品配置的 XML。

ESET 数据和安装目录文件列表

ESET\Config\data_dir_list.txt

包含 ESET AppData 目录及其全部子目录中的文件列表的文本文件。

ESET 数据和安装目录文件列表

ESET\Config\install_dir_list.txt

包含 ESET Install 目录及其全部子目录中的文件列表的文本文件。

ESET 驱动程序

ESET\Config\drivers.txt

有关安装的 ESET 驱动程序的信息。

ESET 个人防火墙配置

ESET\Config\EpfwUser.dat

复制包含 ESET 个人防火墙配置的文件。

ESET 防火墙故障排除向导

ESET\Config\epfw_troubleshooting_wizard.xml

包含有关被阻止的本地应用程序和远程设备的信息的 XML 文件。

ESET 防火墙临时 IP 地址黑名单

ESET\Config\epfw_temporary_ip_address_blacklist.xml

包含有关暂时阻止的 IP 地址的信息的 XML 文件

ESET 注册表项内容

ESET\Config\ESET.reg

HKLM\SOFTWARE\ESET 的注册表项内容

Winsock LSP 目录

Config/WinsockLSP.txt

Netsh winsock show catalog 命令输出。

最新应用的策略

ESET\Config\lastPolicy.dat

由 ESET PROTECT 应用的策略。

ESET 组件

ESET\Config\msi_features.txt

收集的有关可用 ESET 产品 MSI 安装程序组件的信息。

ESET 许可证

ESET\Config\License\*.*

已安装 ESET 产品的许可证文件。

HIPS 配置

ESET\Config\HipsRules.bin

HIPS 规则数据。

网络检查器配置

ESET\Config\epfwdata.bin

网络检查器配置数据。

已连接的主页配置

ESET\Config\homenet.dat

已连接的主页数据。

隔离区

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

有关已隔离文件的信息

ESET\Quarantine\quar_info.txt

创建包含已隔离对象列表的文本文件。

小型隔离文件 (< 250KB)

ESET\Quarantine\*.*(< 250KB)

隔离文件小于 250 KB。

大型隔离文件 (> 250KB)

ESET\Quarantine\*.*(> 250KB)

隔离文件大于 250 KB。

可疑文件(使用 ESET Inspect On-prem 日志项目收集)

Config\SysInspector.esil

ESET SysInspector 认为可疑的所有文件。

ESET 日志

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

ESET 事件日志

ESET\Logs\Common\warnlog.dat

二进制文件格式的 ESET 产品事件日志。

ESET 检测到的威胁日志

ESET\Logs\Common\virlog.dat

二进制文件格式的 ESET 检测到的威胁日志。

ESET 计算机扫描日志

ESET\Logs\Common\eScan\*.dat

二进制文件格式的 ESET 计算机扫描日志。

ESET HIPS 日志*

ESET\Logs\Common\hipslog.dat

二进制文件格式的 ESET HIPS 日志。

ESET 家长控制日志*

ESET\Logs\Common\parentallog.dat

二进制文件格式的 ESET 家长控制日志。

ESET 设备控制日志*

ESET\Logs\Common\devctrllog.dat

二进制文件格式的 ESET 设备控制日志。

ESET 网络摄像头防护日志*

ESET\Logs\Common\webcamlog.dat

二进制文件格式的 ESET 网络摄像头防护日志。

ESET 银行业务和付款保护日志

ESET\Logs\Common\bpplog.dat

二进制文件格式的 ESET 银行业务和付款保护日志。

ESET 阻止的文件日志

ESET\Logs\Common\blocked.dat

二进制文件格式的 ESET 阻止的文件日志。

ESET 发送的文件日志

ESET\Logs\Common\sent.dat

二进制文件格式的 ESET 发送的文件日志。

ESET 审核日志

ESET\Logs\Common\audit.dat

ESET\Logs\Common\audit\*.*

二进制文件格式的 ESET 审核日志。

ESET 漏洞和修补程序管理日志

ESET\Logs\Common\vapmlog.dat

ESET 漏洞和修补程序管理二进制日志。

*选项仅在文件存在时显示。

ESET 服务器产品线日志

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

ESET 手动服务器数据库扫描日志

ESET\Logs\Common\ServerOnDemand\*.dat

二进制文件格式的 ESET 服务器手动日志。

ESET Hyper-V 服务器扫描日志

ESET\Logs\Common\HyperVOnDemand\*.dat

二进制文件格式的 ESET Hyper-V 服务器扫描日志。

ESET OneDrive 扫描日志

ESET\Logs\Common\O365OnDemand\*.dat

二进制文件格式的 ESET OneDrive 扫描日志。

ESET 网络日志

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

ESET 网络防护日志*

ESET\Logs\Net\epfwlog.dat

二进制文件格式的 ESET 网络防护日志。

ESET 过滤的网站日志*

ESET\Logs\Net\urllog.dat

二进制文件格式的 ESET 网站过滤日志。

ESET Web 控制日志*

ESET\Logs\Net\webctllog.dat

二进制文件格式的 ESET Web 控制日志。

ESET pcap 日志

ESET\Logs\Net\EsetProxy*.pcapng

复制 ESET pcap 日志。

*选项仅在文件存在时显示。

ESET 诊断

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

本地缓存数据库

ESET\Diagnostics\local.db

ESET 扫描的文件数据库。

常规产品诊断日志

ESET\Diagnostics\*.*

ESET 诊断文件夹中的文件(小型转储)。

ECP 诊断日志

ESET\Diagnostics\ECP\*.*

如果在激活产品或与激活服务器通信时出现问题,将生成 ESET 通信协议诊断日志。

EPNS 诊断日志

ESET\Diagnostics\*.*

如果出现问题,将生成 ESET 推送通知服务诊断日志。

漏洞和修补程序管理调试日志

ESET\Diagnostics\Vapm\*.*

ESET 漏洞和修补程序管理诊断日志文件。

ESET Cluster 诊断日志

ESET\Diagnostics\Cluster\*.*

ESET Cluster 诊断日志文件,包括位于 ESET Cluster 功能执行的产品安装/升级期间创建的系统临时目录中的文件。

更新

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

产品更新日志

ESET\Update\MicroPcu\*.*

ESET 产品 μ-PCU 更新文件。

更新快照信息

ESET\Config\db.xml

备份更新快照 XML 文件,其中包含有关特定日期的模块的信息。

ESET Secure Authentication

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

ESA 日志

ESA\*.log

ESA\logs\*.*

从 ESET Secure Authentication 导出的日志。

ESA 日志

ESA\logs\elastic\*.*

其他 ESET Secure Authentication 日志文件。

ESA 同步服务器代理日志

ESA\Synchronization Agent\*.*

从 ESET Secure Authentication 同步服务器代理导出的日志。这些文件是从版本 4.9.0.0 开始收集的。

ESET Inspect On-prem

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

EI 服务器日志

EEI\Server\Logs\*.log

检查服务器产品文本日志。

EI Connector 日志

EEI\Agent\Logs\*.log

 

检查连接器产品文本日志。

EI 服务器配置

EEI\Server\eiserver.ini

包含检查服务器产品配置的 .ini 文件。

EI Connector 配置

 

EEI\Agent\eiconnector.ini

包含检查连接器产品配置的 .ini 文件。

EI 服务器策略

EEI\Server\eiserver.policy.ini

包含检查服务器产品策略的 .ini 文件。

EI Connector 策略

EEI\Agent\eiconnector.policy.ini

包含检查连接器产品策略的 .ini 文件。

EEI 服务器证书

EEI\Server\Certificates\*.*

包含由检查服务器产品使用的证书文件。因为文件位于子文件夹中,因此将收集整个结构。

EEI Connector 证书

EEI\Agent\Certificates\*.*

包含由检查连接器产品使用的证书文件。因为文件位于子文件夹中,因此将收集整个结构。

EI 服务器转储

EEI\Server\Diagnostics\*.*

检查服务器产品转储文件。

MySQL Server 配置

EI\My SQL\my.ini

包含由 ESET Inspect On-prem Server 产品使用的 MySQL Server 配置的 .ini 文件。

MySQL Server 日志

EEI\My SQL\EEI.err

由 ESET Inspect On-prem Server 产品使用的 MySQL Server 的错误文本日志。

ESET Full Disk Encryption

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

EFDE 日志

EFDE\AIS\Logs\*.*

EFDE\Core\*.log

从 ESET Full Disk Encryption 中导出的日志(AIS 和 Core)。

EFDE 许可证数据

EFDE\AIS\Licence\*.*

ESET Full Disk Encryption 的许可证数据文件。

EFDE 配置

EFDE\AIS\lastpolicy.dat

包含 ESET Full Disk Encryption 的配置。

ESET VPN

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

客户端应用程序日志

EVPN\ClientApp\*.tx

EVPN 客户端应用程序日志。

服务日志

EVPN\Service\*.log

EVPN 服务日志。

网络路由表

EVPN\routing_table.txt

包含路由表的路由实用程序的控制台输出。

ESET 电子邮件日志(ESET Mail Security for Exchange、ESET Mail Security for Domino)

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

ESET 垃圾邮件日志

ESET\Logs\Email\spamlog.dat

二进制文件格式的 ESET 垃圾邮件日志。

ESET 灰名单日志

ESET\Logs\Email\greylistlog.dat

二进制格式的 ESET 灰名单日志。

ESET SMTP 防护日志

ESET\Logs\Email\smtpprot.dat

二进制文件格式的 ESET SMTP 防护日志。

ESET 邮件服务器防护日志

ESET\Logs\Email\mailserver.dat

二进制文件格式的 ESET 邮件服务器防护日志。

ESET 诊断电子邮件处理日志

ESET\Logs\Email\MailServer\*.dat

二进制文件格式的 ESET 诊断电子邮件处理日志,该日志直接从磁盘复制。

ESET 垃圾邮件日志*

ESET\Logs\Email\spamlog.dat

二进制文件格式的 ESET 垃圾邮件日志。

ESET 反垃圾邮件配置和诊断日志

ESET\Logs\Email\Antispam\antispam.*.log

ESET\Config\Antispam\*.*

复制 ESET 反垃圾邮件配置和诊断日志。

*选项仅在文件存在时显示。

ESET SharePoint 日志 (ESET Security for SharePoint)

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

ESET SHPIO.log

ESET\Log\ESHP\SHPIO.log

SHPIO.exe 实用程序中的 ESET 诊断日志。

特定于产品的日志 - 特定产品有多种选择。

Domino (ESET Mail Security for Domino)

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

Domino IBM_TECHNICAL_SUPPORT 日志 + notes.ini

LotusDomino\Log\notes.ini

IBM Domino 配置文件。

Domino IBM_TECHNICAL_SUPPORT 日志 + notes.ini

LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.*

IBM Domino 日志,时间不超过 30 天。

MS SharePoint (ESET Security for SharePoint)

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

MS SharePoint 日志

SharePoint\Logs\*.log

MS SharePoint 日志,时间不超过 30 天。

SharePoint 注册表项内容

SharePoint\WebServerExt.reg

包含 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions 的注册表项内容。仅在安装了 ESET Security for SharePoint 时可用。

MS Exchange (ESET Mail Security for Exchange)

项目名

收集配置文件

位置 / 文件名

说明

默认

威胁检测

MS Exchange 传输服务器代理注册

Exchange\agents.config

MS Exchange 传输服务器代理注册 config file。适用于 Microsoft Exchange Server 2007 及更高版本。

MS Exchange 传输服务器代理注册

Exchange\sinks_list.txt

MS Exchange 事件接收注册转储。适用于 Microsoft Exchange Server 2000 和 2003。

MS Exchange EWS 日志

Exchange\EWS\*.log

收集 EWS Exchange Server 日志。