Список артефактов/собираемые файлы
В этом разделе описаны файлы, которые будут содержаться в итоговом .zip-файле. Описание поделено на два подраздела на основании типа информации (файлы и артефакты).
Расположение/имя файла |
Описание |
|---|---|
metadata.txt |
Сведения о дате создания архива с расширением .zip, версии ESET Log Collector, версии приложения ESET, а также основная информация о лицензии. |
collector_log.txt |
Копия файла журнала из графического интерфейса, который содержит данные, полученные до момента создания файла с расширением .zip. |
Процессы Windows |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Запущенные процессы (открытые дескрипторы и загруженные библиотеки DLL) |
✓ |
✓ |
Windows\Processes\Processes.txt |
Текстовый файл, в котором содержится список процессов, запущенных на компьютере. Для каждого процесса указаны следующие элементы: •Идентификатор процесса •Идентификатор родительского процесса •Количество потоков •Количество открытых дескрипторов, сгруппированных по типу •Загруженные модули •Учетная запись пользователя, от имени которого запущен процесс •Использование памяти •Отметка о времени начала •Время ядра и время пользователя •Статистика ввода-вывода •Командная строка |
Запущенные процессы (открытые дескрипторы и загруженные библиотеки DLL) |
✓ |
✓ |
Windows\ProcessesTree.txt |
Текстовый файл, в котором содержится дерево запущенных на компьютере процессов. Для каждого процесса указаны следующие элементы: •Идентификатор процесса •Учетная запись пользователя, от имени которого запущен процесс •Отметка о времени начала •Командная строка |
Перемещенные двоичные файлы запущенных процессов |
✓ |
✓ |
Windows\Processes\RelocatedBinaries.txt |
Текстовый файл, в котором содержится список двоичных файлов запущенных процессов, которые изменили местоположение во время выполнения. Кроме того, файл может содержать возможные записи трассировки. |
Журналы Windows |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Журнал событий приложения |
✓ |
✓ |
Windows\Logs\LocaleMetaData\Application_1033.mta Windows\Logs\Application.xml Windows\Logs\Application.evtx |
Журналы событий приложения Windows в пользовательском формате XML. Добавляются только сообщения за последние 30 дней. |
Системный журнал событий |
✓ |
✓ |
Windows\Logs\LocaleMetaData\System_1033.mta Windows\Logs\System.xml Windows\Logs\System.evtx |
Журналы событий системы Windows в пользовательском формате XML. Добавляются только сообщения за последние 30 дней. |
Журнал событий безопасности |
✗ |
✗ |
Windows\Logs\Security.evtx |
Файл журнала событий системы безопасности Windows. Добавляются только сообщения за последние 30 дней. |
Службы терминалов — журнал операционных событий LSM* |
✗ |
✓ |
Windows\Logs\LocalSessionManager-Operational.evtx |
Журнал событий Windows, содержащий информацию о сеансах RDP. |
Службы терминалов — журнал операционных событий* RCM |
✗ |
✓ |
Windows\Logs\RemoteConnectionManager-Operational.evtx |
Журнал событий Windows, содержащий сведения о подключениях к удаленному рабочему столу Windows. |
Журналы установки драйверов |
✓ |
✗ |
Windows\Logs\catroot2_dberr.txt |
Информация о каталогах, которые были добавлены в хранилище каталогов при установке драйверов. |
Журналы SetupAPI* |
✓ |
✗ |
Windows\Logs\SetupAPI\setupapi*.log |
Текстовые журналы установки устройств и приложений. |
Операционный журнал событий* для действий WMI |
✗ |
✓ |
Windows\Logs\WMI-Activity.evtx |
Журнал событий Windows, содержащий данные отслеживания действий WMI. Добавляются только сообщения за последние 30 дней. |
Журнал событий Windows PowerShell |
✗ |
✓ |
Windows\Logs\Windows-PowerShell.evtx |
Файл журнала событий Windows, содержащий сведения об операциях Windows PowerShell. |
Журналы IIS |
✓ |
✗ |
Windows\Logs\IISLogs\w3svc* |
Журналы IIS собираются в соответствующие папки. |
* Windows Vista и более новые версии
Конфигурация системы |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Сведения о дисках |
✓ |
✓ |
Windows\drives.txt Windows\volumes.txt |
Текстовый файл с данными о дисковых накопителях и томах. |
Сведения об устройствах |
✓ |
✓ |
Windows\devices\*.txt Windows\Devices\deviceTree.json |
Несколько текстовых файлов с данными о классах и интерфейсах устройств. |
Содержимое раздела реестра служб |
✓ |
✗ |
Windows\Services.reg |
Содержимое раздела реестра KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Сбор данных из этого раздела может быть полезен при проблемах с драйверами. |
Конфигурация сети |
✓ |
✓ |
Config\network.txt |
Текстовый файл, содержащий конфигурацию сети (результат выполнения ipconfig /all). |
Обновления Windows |
✗ |
✗ |
Windows Updates\WinUpdates.txt |
Текстовый файл, содержащий информацию об обновлениях Windows. |
История PowerShell |
✗ |
✓ |
Windows\PSHistory\{profileName}\*.* |
Текстовые файлы с историей PowerShell в %appdata%\Microsoft\Windows\PowerShell\PSReadline\ для каждого профиля. История собирается для PS версии 5 и выше, где параметр PSReadLine должен быть доступен по умолчанию. |
Информация о .NET Framework |
✓ |
✗ |
Windows\DotNET_info.txt |
Текстовый файл, содержащий сведения об установленных версиях .NET Framework и .NET CLR. |
Журнал ESET SysInspector |
✓ |
✓ |
Config\SysInspector.esil |
Журнал SysInspector. Он может содержать формат SysInspector XML в зависимости от версии используемого приложения SysInspector. |
Каталог Winsock LSP |
✓ |
✓ |
Config\WinsockLSP.txt |
Выходные данные команды «netsh winsock show catalog». |
Фильтры WFP* |
✓ |
✓ |
Config\WFPFilters.xml |
Конфигурация фильтров WFP в формате XML. |
Все содержимое реестра Windows |
✗ |
✓ |
Windows\Registry\* |
Двоичные файлы с данными реестра Windows. |
Список файлов во временных каталогах |
✓ |
✓ |
Windows\TmpDirs\*.txt |
Собранные текстовые файлы с содержимым временных каталогов системного пользователя: %windir%/temp, %TEMP% и %TMP%. |
Запланированные задачи Windows |
✗ |
✓ |
Windows\Scheduled Tasks\*.* |
Файлы xml, содержащие все задачи планировщика заданий Windows. Необходимы для обнаружения вредоносных программ, которые используют уязвимости планировщика заданий. Поскольку файлы расположены в подпапках, выполняется сбор всей структуры папок. |
Репозиторий WMI |
✗ |
✓ |
Windows\WMI Repository\*.* |
Двоичные файлы, содержащие данные базы данных инструментария управления Windows (WMI) (мета-информацию, определение и статические данные классов WMI). Эти файлы могут быть полезны при определении вредоносных программ, которые используют WMI для устойчивости (например, Turla). Поскольку файлы WMI могут быть расположены в подпапках, выполняется сбор всей структуры папок. |
Базы данных кодов совместимости |
✗ |
✓ |
Windows\Shim Databases\*.sdb |
Файлы базы данных совместимости, расположенные в каталоге %SystemRoot%\apppatch. |
Предварительная выборка файлов |
✗ |
✓ |
Windows\Prefetch files\*.sdb |
Файлы предварительной выборки, расположенные в каталоге %SystemRoot%\Prefetch. |
Настройки групповой политики |
✗ |
✗ |
Windows\GP\gpresult.html Windows\GP\gpresult_Computer.log Windows\GP\gpresult_User.log |
Отчет, создаваемый средством gpresult, содержит все сведения об итоговом наборе политик для удаленных пользователей и компьютеров. |
Права учетной записи Windows |
✗ |
✗ |
Windows\Account rights\rights.inf |
Права учетной записи Windows, экспортированные с помощью служебной программы SecEdit. |
Состояние Microsoft Defender* |
✗ |
✗ |
Windows\Defender\service.txt |
Текстовый файл, содержащий сведения о службе Microsoft Defender. |
Роли и функции Windows Server* |
✓ |
✗ |
Windows\server_features.txt |
Текстовый файл, содержащий дерево всех компонентов Windows Server. Каждый компонент содержит следующую информацию: •Состояние установки •Локализованное имя •Кодовое имя •Состояние (доступно для Microsoft Windows Server 2012 и более новых версий) |
Обнаруженные приложения Windows Server |
✓ |
✗ |
Windows\server_applications.txt |
Текстовый файл с информацией об установленных серверных приложениях: SharePoint, Exchange и SQL. |
Запуск Windows |
✓ |
✗ |
Windows\Startup\*.* |
Все записи ярлыков запуска Windows. |
Windows Amcache |
✓ |
✗ |
Windows\Amcache.hve |
Куст реестра Amcache, запрошенный командой реагирования на инциденты. |
* Microsoft Windows 7 или Microsoft Windows Server 2008 R2 и более поздние версии/антивирусная служба Microsoft Defender
Установщик ESET |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Журналы установщика ESET |
✓ |
✗ |
ESET\Installer\*.log |
Журналы установки, созданные при установке приложений ESET NOD32 Antivirus и ESET Smart Security 10 Premium. |
Сервер ESET PROTECT |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Журналы сервера |
✓ |
✗ |
ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip |
Создаются журналы приложения сервера в ZIP-архиве. Сюда включены журналы трассировки, состояния и последних ошибок. |
Журналы агента |
✓ |
✗ |
ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip |
Создаются журналы приложения агента в ZIP-архиве. Сюда включены журналы трассировки, состояния и последних ошибок. |
База данных агента |
✓ |
✗ |
ERA\Agent\Database\data.db |
Файл базы данных агента. |
Информация о процессах и дампы* |
✗ |
✗ |
ERA\Server\Process and old dump\RemoteAdministratorServerDiagnostic<datetime>.zip |
Дампы серверных процессов. |
Конфигурация |
✓ |
✗ |
ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip |
Файлы, содержащие сведения о конфигурации сервера и информацию о приложении, в формате архива ZIP. |
Журналы Rogue Detection Sensor |
✓ |
✗ |
ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip |
ZIP-файл, содержащий журнал трассировки RD Sensor, журнал последних ошибок, журнал состояния, файл конфигурации, дампы и файлы общей информации. |
Журналы MDMCore |
✓ |
✗ |
ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip |
ZIP-файл, содержащий журнал трассировки MDMCore, журнал последних ошибок, журнал состояния, дампы и файлы общей информации. |
Журналы прокси-сервера |
✓ |
✗ |
ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip |
ZIP-файл, содержащий журнал трассировки прокси-сервера, журнал последних ошибок, журнал состояния, файл конфигурации, дампы и файлы общей информации. |
Конфигурация Apache Tomcat |
✓ |
✗ |
ERA\Apache\Tomcat\conf\*.* |
Файлы конфигурации Apache Tomcat. Содержит копию файла server.xml без конфиденциальной информации. |
Журналы Apache Tomcat |
✓ |
✗ |
ERA\Apache\Tomcat\logs\*.log ERA\Apache\Tomcat\EraAppData\logs\*.log ERA\Apache\Tomcat\EraAppData\WebConsole\*.log |
Журналы Apache Tomcat в текстовом формате, расположенные в каталоге установки или каталоге приложения Apache Tomcat. Также содержит журналы веб-консоли. |
Конфигурация прокси-сервера Apache HTTP |
✓ |
✗ |
ERA\Apache\Proxy\conf\httpd.conf |
Файл конфигурации прокси-сервера Apache HTTP. |
Журналы прокси-сервера Apache HTTP |
✓ |
✗ |
ERA\Apache\Proxy\logs\*.log |
Журналы прокси-сервера Apache HTTP в текстовом формате расположены. |
Агент ESET PROTECT |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Журналы агента |
✓ |
✗ |
ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip |
Создаются журналы приложения агента в ZIP-архиве. Сюда включены журналы трассировки, состояния и последних ошибок. |
База данных агента |
✓ |
✗ |
ERA\Agent\Database\data.db |
Файл базы данных агента. |
Информация о процессах и дампы* |
✗ |
✗ |
ERA\Agent\Process and old dump\RemoteAdministratorAgentDiagnostic<datetime>.zip |
Дампы процессов агента. |
Конфигурация |
✓ |
✗ |
ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip |
Файлы, содержащие сведения о конфигурации агента и информацию о приложении, в формате архива ZIP. |
* Сервер ESET PROTECT или агент ESET PROTECT
ESET Bridge |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Конфигурация ESET Bridge |
✓ |
✗ |
ESET Bridge\pkgid |
Файл конфигурации, расположенный в каталоге установки ESET Bridge. |
Журналы ESET Bridge |
✓ |
✗ |
ESET Bridge\logs\*.* |
Файлы журнала, расположенные в каталоге данных приложения ESET Bridge. |
Дампы ESET Bridge |
✓ |
✗ |
ESET Bridge\dumps\*.* |
Файлы дампа ESET Bridge. |
Журналы Nginx |
✓ |
✗ |
ESET Bridge\Nginx\logs\*.log ESET Bridge\Nginx\conf\*.* |
Файлы журнала Nginx (.key и .pfx не собираются). |
Плагин ESET Direct Endpoint Management |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
eRMMI |
✓ |
✗ |
ERMMI\data\*.* |
Файлы данных приложения, расположенные в каталоге ERMMI. |
Плагин конечной точки для журналов Connectwise Automate |
✓ |
✗ |
ERMMI\EEPCA\Logs\*.* |
Файлы журнала плагина конечной точки для Connectwise Automate. |
Плагин конечной точки для двоичных файлов Connectwise Automate |
✓ |
✗ |
ERMMI\EEPCA\bin\*.* |
Плагин конечной точки для Connectwise Automate в двоичном формате (кроме исполняемых файлов .msi и .exe). |
Журналы ERMMI |
✓ |
✗ |
ERMMI\logs\*.* |
Файлы журнала, расположенные в каталоге установки ERMMI. |
Двоичные файлы ERMMI |
✓ |
✗ |
ERMMI\bin\*.* |
Двоичные файлы, расположенные в каталоге установки ERMMI (кроме исполняемых файлов .msi и .exe). |
Конфигурация ESET |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Конфигурация приложения ESET |
✓ |
✓ |
info.xml |
Информационный XML-файл, содержащий подробные сведения об установленном на компьютере приложении ESET. В нем содержится основная информация о системе, сведения об установленном приложении и список модулей приложения. |
Конфигурация приложения ESET |
✓ |
✓ |
versions.csv |
Начиная с версии 4.0.3.0 файл всегда добавляется (без каких-либо зависимостей). Он содержит сведения об установленном приложении. Для добавления в каталоге AppData продукта ESET должен присутствовать файл versions.csv. |
Конфигурация приложения ESET |
✓ |
✓ |
features_state.txt |
Информация о функциях приложения ESET и их состоянии (активны, неактивны, не интегрированы). Файл собирается всегда и не привязан ни к одному из выбираемых артефактов. |
Конфигурация приложения ESET |
✓ |
✓ |
Configuration\application_conf.xml |
XML-файл с экспортированной конфигурацией приложения. |
Список файлов в каталоге данных и установки ESET |
✓ |
✓ |
ESET\Config\data_dir_list.txt |
Текстовый файл, содержащий список файлов в каталоге ESET AppData и всех его подкаталогах. |
Список файлов в каталоге данных и установки ESET |
✓ |
✓ |
ESET\Config\install_dir_list.txt |
Текстовый файл, содержащий список файлов в каталоге ESET Install и всех его подкаталогах. |
Драйверы ESET |
✓ |
✓ |
ESET\Config\drivers.txt |
Информация об установленных драйверах ESET. |
Конфигурация персонального файервола ESET |
✓ |
✓ |
ESET\Config\EpfwUser.dat |
Копируется файл, содержащий конфигурацию персонального файервола ESET. |
Мастер устранения неполадок файервола ESET |
✓ |
✓ |
ESET\Config\epfw_troubleshooting_wizard.xml |
XML-файл, содержащий информацию о заблокированных локальных приложениях и удаленных устройствах. |
Черный список временных IP-адресов файервола ESET |
✓ |
✓ |
ESET\Config\epfw_temporary_ip_address_blacklist.xml |
XML-файл, содержащий информацию о временно заблокированных IP-адресах. |
Содержимое раздела реестра ESET |
✓ |
✓ |
ESET\Config\ESET.reg |
Содержимое раздела реестра HKLM\SOFTWARE\ESET. |
Каталог Winsock LSP |
✓ |
✓ |
Config/WinsockLSP.txt |
Выходные данные команды «netsh winsock show catalog». |
Последняя примененная политика |
✓ |
✓ |
ESET\Config\lastPolicy.dat |
Политика, применяемая решением <%REMOTE%>. |
Компоненты ESET |
✓ |
✓ |
ESET\Config\msi_features.txt |
Собранная информация о доступных компонентах MSI-установщика приложения ESET. |
Подписка ESET |
✓ |
✓ |
ESET\Config\License\*.* |
Файлы подписки установленного приложения ESET. |
Конфигурация системы HIPS |
✓ |
✓ |
ESET\Config\HipsRules.bin |
Данные правил системы HIPS. |
Конфигурация средства "Инспектор сети" |
✓ |
✓ |
ESET\Config\epfwdata.bin |
Данные конфигурации средства «Инспектор сети». |
Конфигурация домашней сети |
✓ |
✓ |
ESET\Config\homenet.dat |
Данные домашней сети. |
Карантин |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Информация о файлах на карантине |
✓ |
✓ |
ESET\Quarantine\quar_info.txt |
Создается текстовый файл со списком объектов, помещенных на карантин. |
Небольшие файлы на карантине (< 250 КБ) |
✓ |
✗ |
ESET\Quarantine\*.*(< 250KB) |
Помещать на карантин файлы размером менее 250 КБ. |
Большие файлы на карантине (> 250 КБ) |
✗ |
✓ |
ESET\Quarantine\*.*(> 250KB) |
Помещать на карантин файлы размером более 250 КБ. |
Подозрительный файл (собранный с артефактом журнала ESET Inspect On-Prem) |
✗ |
✓ |
Config\SysInspector.esil |
Все файлы, которые решение ESET SysInspector считает подозрительными. |
Журналы ESET |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Журнал событий ESET |
✓ |
✓ |
ESET\Logs\Common\warnlog.dat |
Журнал событий приложения ESET в двоичном формате. |
Журнал обнаружений ESET |
✓ |
✓ |
ESET\Logs\Common\virlog.dat |
Журнал обнаружений ESET в двоичном формате. |
Журналы сканирования компьютера ESET |
✗ |
✓ |
ESET\Logs\Common\eScan\*.dat |
Журнал(-ы) ESET сканирования компьютера в двоичном формате. |
Журнал обновления ESET |
✓ |
✓ |
ESET\Logs\Common\updatelog.dat |
Журнал обновления ESET в двоичном формате. |
Журнал ESET HIPS* |
✓ |
✓ |
ESET\Logs\Common\hipslog.dat |
Журнал ESET HIPS в двоичном формате. Файл журнала защиты папок ESET. Журнал функции ESET "Восстановление после программ-вымогателей". |
Журналы родительского контроля ESET* |
✓ |
✓ |
ESET\Logs\Common\parentallog.dat |
Журнал родительского контроля ESET в двоичном формате. |
Журнал контроля устройств ESET* |
✓ |
✓ |
ESET\Logs\Common\devctrllog.dat |
Журнал контроля устройств ESET в двоичном формате. |
Журнал защиты веб-камеры ESET* |
✓ |
✓ |
ESET\Logs\Common\webcamlog.dat |
Журнал защиты веб-камеры ESET в двоичном формате. |
Журнал защиты банковских операций и браузера ESET |
✓ |
✓ |
ESET\Logs\Common\bpplog.dat |
Журнал защиты банковской оплаты ESET в двоичном формате. |
Журнал заблокированных файлов ESET |
✓ |
✓ |
ESET\Logs\Common\blocked.dat |
Журнал(ы) заблокированных файлов ESET в двоичном формате. |
Журнал отправленных файлов ESET |
✓ |
✓ |
ESET\Logs\Common\sent.dat |
Журнал(ы) отправленных файлов ESET в двоичном формате. |
Журнал аудита ESET |
✓ |
✓ |
ESET\Logs\Common\audit.dat ESET\Logs\Common\audit\*.* |
Журналы аудита ESET в двоичном формате. |
Журнал управления уязвимостями и исправлениями ESET |
✓ |
✓ |
ESET\Logs\Common\vapmlog.dat |
Журнал управления уязвимостями и исправлениями ESET в двоичном формате. |
* Этот параметр отображается, только если файл существует.
Журналы приложений серверной линейки ESET |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Журналы сканирования серверной базы данных по требованию (ESET) |
✓ |
✓ |
ESET\Logs\Common\ServerOnDemand\*.dat |
Журнал(-ы) ESET сканирования сервера по требованию в двоичном формате. |
Журналы ESET сканирования сервера Hyper-V |
✓ |
✓ |
ESET\Logs\Common\HyperVOnDemand\*.dat |
Журнал(ы) ESET сканирования сервера Hyper-V в двоичном формате. |
Журналы сканирования ESET OneDrive |
✓ |
✓ |
ESET\Logs\Common\O365OnDemand\*.dat |
Журнал(ы) сканирования ESET OneDrive в двоичном формате. |
Сетевые журналы ESET |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Журнал защиты сети ESET* |
✓ |
✓ |
ESET\Logs\Net\epfwlog.dat |
Журнал защиты сети ESET в двоичном формате. |
Журнал отфильтрованных веб-сайтов (ESET)* |
✓ |
✓ |
ESET\Logs\Net\urllog.dat |
Журнал ESET отфильтрованных веб-сайтов в двоичном формате. |
Журнал контроля доступа в Интернет ESET* |
✓ |
✓ |
ESET\Logs\Net\webctllog.dat |
Журнал контроля доступа в Интернет ESET в двоичном формате. |
Журналы ESET pcap |
✓ |
✗ |
ESET\Logs\Net\Eset*.pcapng |
Файлы, содержащие дамп сетевой коммуникации в двоичном формате. |
* Этот параметр отображается, только если файл существует.
Диагностика ESET |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
База данных локального кэша |
✗ |
✓ |
ESET\Diagnostics\local.db |
База данных просканированных файлов ESET. |
Журналы общей диагностики приложения |
✓ |
✗ |
ESET\Diagnostics\*.* |
Файлы (мини-дампы) из папки диагностики ESET. |
Журналы диагностики ECP |
✓ |
✗ |
ESET\Diagnostics\ECP\*.* |
Журналы диагностики протокола передачи данных ESET создаются при проблемах с активацией приложения или подключением к серверам активации. |
Журналы диагностики службы push-уведомлений ESET |
✓ |
✗ |
ESET\Diagnostics\*.* |
Журналы диагностики службы push-уведомлений ESET создаются при возникновении проблем. |
Журналы отладки для функции управления уязвимостями и исправлениями |
✓ |
✗ |
ESET\Diagnostics\Vapm\*.* |
Файлы журнала диагностики для функции управления уязвимостями и исправлениями ESET. |
Журналы диагностики ESET Cluster |
✓ |
✗ |
ESET\Diagnostics\Cluster\*.* |
Файлы журнала диагностики ESET Cluster, в том числе расположенные во временном каталоге системы, созданном во время установки или обновления приложения, которое выполняется компонентом ESET Cluster. |
Обновление |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Журналы обновления приложения |
✓ |
✗ |
ESET\Update\MicroPcu\*.* |
Файлы обновления μ-PCU приложения ESET. |
Обновить данные снимка |
✓ |
✗ |
ESET\Config\db.xml |
XML-файл со снимком обновления резервной копии, содержащий информацию о модулях на определенную дату. |
ESET Secure Authentication |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Журналы ESA |
✓ |
✗ |
ESA\*.log ESA\logs\*.* |
Выполняется экспорт журналов из программы ESET Secure Authentication. |
Журналы ESA |
✓ |
✗ |
ESA\logs\elastic\*.* |
Дополнительные файлы журнала ESET Secure Authentication. |
Журналы агента синхронизации ESA |
✓ |
✗ |
ESA\Synchronization Agent\*.* |
Экспортированные журналы из агента синхронизации ESET Secure Authentication. Файлы собираются, начиная с версии 4.9.0.0. |
ESET Inspect On-Prem |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Журналы сервера EI |
✓ |
✗ |
EEI\Server\Logs\*.log |
Текстовые журналы приложения Inspect Server. |
Журналы соединителя EI |
✓ |
✗ |
EEI\Agent\Logs\*.log
|
Текстовые журналы приложения Inspect Connector. |
Конфигурация сервера EI |
✓ |
✗ |
EEI\Server\eiserver.ini |
Файл с расширением .ini, содержащий конфигурацию приложения Inspect Server. |
Конфигурация соединителя EI |
✓ |
✗ |
EEI\Agent\eiconnector.ini |
Файл с расширением .ini, содержащий конфигурацию приложения Inspect Connector. |
Политика сервера EI |
✓ |
✗ |
EEI\Server\eiserver.policy.ini |
Файл с расширением .ini, содержащий политику приложения Inspect Server. |
Политика соединителя EI |
✓ |
✗ |
EEI\Agent\eiconnector.policy.ini |
Файл с расширением .ini, содержащий политику приложения Inspect Connector. |
Сертификаты сервера EI |
✓ |
✗ |
EEI\Server\Certificates\*.* |
Содержит файлы сертификации, используемые приложением Inspect Server. Эти файлы помогают при обнаружении вредоносных программ, которые используют уязвимости планировщика заданий. Поскольку файлы расположены в подпапках, выполняется получение всей структуры папок. |
Модули соединителя EI |
✓ |
✗ |
ESET\Inspect Connector\Modules |
Собранная информация о версиях модулей. |
Сертификаты соединителя EI |
✓ |
✗ |
EEI\Agent\Certificates\*.* |
Содержит файлы сертификации, используемые приложением Inspect Connector. Эти файлы помогают при обнаружении вредоносных программ, которые используют уязвимости планировщика заданий. Поскольку файлы расположены в подпапках, выполняется получение всей структуры папок. |
Постоянный журнал соединителя EI |
✓ |
✗ |
ESET\Inspect Connector\PersistentLog |
Постоянный журнал Inspect Connector, реализованный начиная с версии 2.3. |
Дампы сервера EI |
✓ |
✗ |
EEI\Server\Diagnostics\*.* |
Файлы дампа приложения Inspect Server. |
Конфигурация сервера MySQL |
✓ |
✗ |
EI\My SQL\my.ini |
Файл с расширением .ini, содержащий конфигурацию MySQL Server, которая используется приложением ESET Inspect On-Prem Server. |
Журналы сервера MySQL |
✓ |
✗ |
EEI\My SQL\EEI.err |
Текстовый журнал ошибок сервера MySQL Server, который используется приложением ESET Inspect On-Prem Server. |
ESET Full Disk Encryption |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Журналы EFDE |
✓ |
✗ |
EFDE\AIS\Logs\*.* EFDE\Core\*.log |
Экспортированные журналы (AIS и Core) из ESET Full Disk Encryption. |
Данные подписки EFDE |
✓ |
✗ |
EFDE\AIS\Licence\*.* |
Файлы данных подписки ESET Full Disk Encryption. |
Конфигурация EFDE |
✓ |
✗ |
EFDE\AIS\lastpolicy.dat |
Содержит конфигурацию ESET Full Disk Encryption. |
ESET VPN |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Журналы клиентского приложения |
✓ |
✗ |
EVPN\ClientApp\*.tx |
Журналы клиентского приложения EVPN. |
Журналы службы |
✓ |
✗ |
EVPN\Service\*.log |
Журналы службы EVPN. |
Таблица сетевой маршрутизации |
✓ |
✗ |
EVPN\routing_table.txt |
Выводимые данные служебной программы маршрутизации в консоли, содержащие таблицу маршрутизации. |
Журналы электронной почты ESET (ESET Mail Security for Exchange, ESET Mail Security for Domino) |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Журнал спама (ESET) |
✓ |
✗ |
ESET\Logs\Email\spamlog.dat |
Журнал спама (ESET) в двоичном формате. |
Журнал серого списка ESET |
✓ |
✗ |
ESET\Logs\Email\greylistlog.dat |
Журнал серого списка ESET в двоичном формате. |
Журнал защиты SMTP ESET |
✓ |
✗ |
ESET\Logs\Email\smtpprot.dat |
Журнал защиты SMTP ESET в двоичном формате. |
Журнал защиты почтового сервера ESET |
✓ |
✗ |
ESET\Logs\Email\mailserver.dat |
Журнал защиты почтового сервера ESET в двоичном формате. |
Журналы диагностической обработки электронной почты (ESET) |
✓ |
✗ |
ESET\Logs\Email\MailServer\*.dat |
Журналы диагностической обработки электронной почты ESET в двоичном формате, выполняется копирование прямо с диска. |
Журнал спама (ESET)* |
✓ |
✗ |
ESET\Logs\Email\spamlog.dat |
Журнал спама (ESET) в двоичном формате. |
Журналы конфигурации и диагностики модуля защиты от спама ESET |
✓ |
✗ |
ESET\Logs\Email\Antispam\antispam.*.log ESET\Config\Antispam\*.* |
Выполняется копирование журналов конфигурации и диагностики модуля защиты от спама ESET. |
* Этот параметр отображается, только если файл существует.
Журналы ESET SharePoint (ESET Security for SharePoint) |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
ESET SHPIO.log |
✓ |
✗ |
ESET\Log\ESHP\SHPIO.log |
Журнал диагностики ESET из служебной программы SHPIO.exe. |
Журналы определенного приложения: опции доступны для конкретного приложения.
Domino (ESET Mail Security for Domino) |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Журналы Domino IBM_TECHNICAL_SUPPORT и файл notes.ini |
✓ |
✗ |
LotusDomino\Log\notes.ini |
Файл конфигурации IBM Domino. |
Журналы Domino IBM_TECHNICAL_SUPPORT и файл notes.ini |
✓ |
✗ |
LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.* |
Журналы IBM Domino, не старше 30 дней. |
MS SharePoint (ESET Security for SharePoint) |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Журналы MS SharePoint |
✓ |
✗ |
SharePoint\Logs\*.log |
Журналы MS SharePoint, не старше 30 дней. |
Содержимое раздела реестра SharePoint |
✓ |
✗ |
SharePoint\WebServerExt.reg |
Включает в себя содержимое раздела реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions. Доступно только в случае, если установлена программа ESET Security for SharePoint. |
MS Exchange (ESET Mail Security for Exchange) |
||||
|---|---|---|---|---|
Имя артефакта |
Профиль сбора |
Расположение/имя файла |
Описание |
|
По умолчанию |
Обнаружение угроз |
|||
Регистрация агентов транспорта MS Exchange |
✓ |
✗ |
Exchange\agents.config |
Файл конфигурации (config file) для регистрации агентов транспорта MS Exchange. Для Microsoft Exchange Server 2007 и более новых версий. |
Регистрация агентов транспорта MS Exchange |
✓ |
✗ |
Exchange\sinks_list.txt |
Дамп регистрации приемников событий MS Exchange. Для Microsoft Exchange Server 2000 и 2003. |
Журналы веб-служб MS Exchange |
✓ |
✗ |
Exchange\EWS\*.log |
Сбор журналов EWS Exchange Server. |