ESET Log Collector 命令行
通过命令行界面可在没有 GUI 的情况下使用 ESET Log Collector。例如,在安装 Server Core 或 Nano Server 时,或者需要使用命令行而非 GUI 时。一个额外的仅限命令行功能,可将 ESET 二进制日志文件转换为 XML 格式或文本文件。
命令行帮助 - 运行 start /wait ESETLogCollector.exe /?,显示语法帮助。它还列出了可以收集的可用目标(项目)。列表内容取决于安装在运行 ESET Log Collector 的系统上已检测到的 ESET 安全产品类型。仅相关项目才可用。
我们建议在执行任何命令时使用 start/wait 前缀,因为 ESET Log Collector 基本上是一个 GUI 工具,而 Windows 命令行解释器 (shell) 不会等到可执行文件终止就会立即返回,并显示新提示。使用 start /wait 前缀时,使 Windows shell 等到 ESET Log Collector 终止。 |
如果您是首次运行 ESET Log Collector,则必须接受 ESET Log Collector 最终用户许可协议 (EULA)。要接受 EULA,请使用 /accepteula 参数运行第一个命令。任何后续命令的运行无需 /accepteula 参数。如果选择不接受最终用户许可协议 (EULA) 中的条款并且不使用 /accepteula 参数,系统将不会执行您的命令。
此外,/accepteula 参数必须指定为第一个参数,例如:
start /wait ESETLogCollector.exe /accepteula /age:90 /otype:fbin /targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip
用法:
[start /wait] ESETLogCollector.exe [language] [options] <out_zip_file> - 根据指定选项收集日志,并创建 ZIP 格式的输出压缩文件。
[start /wait] ESETLogCollector.exe [language] /Bin2XML [/All] [/UTC] <eset_binary_log> <output_xml_file> - 将收集的 ESET 二进制日志文件 (.dat) 转换为 XML 文件。
[start /wait] ESETLogCollector.exe [language] /Bin2Txt [/All] [/UTC] <eset_binary_log> <output_txt_file> - 将收集的 ESET 二进制日志文件 (.dat) 转换为文本文件。
使用 /certificates 开关导出和收集已安装的系统证书。如果要解决系统内安装的证书问题,请使用此功能。证书导出是使用批处理文件执行的,该文件还收集有关特定帐户的信息,这些信息可能有助于调查问题的原因。
[start /wait] ESETLogCollector.exe [language] /Certificates <out_zip_file>
语言:
/Lang:<langID|?> - 使用指定语言覆盖默认用户界面语言。
langID(语言 ID)- 接受的值:ARE|BGR|CSY|DAN|DEU|ELL|ENU|ESL|ESN|ETI|FIN|FRA|FRC|HUN|CHS|CHT|ITA|JPN|KKZ|KOR|LTH|NLD|NOR|PLK|PTB|ROM|RUS|SKY|SLV|SVE|THA|TRK|UKR
? - 显示所有支持的语言 ID 的列表。
/LangIDs - 等效于 /Lang:? 选项。
选项:
/Age:<days> - 收集的日志记录的最长保留时间(以天为单位)。值范围在 0 到 999 之间,0 表示无限期,默认值是 30。
选择过滤的 XML 或过滤的二进制文件收集格式时,“过滤”表示将仅收集过去几天的记录(由 /Age:<days> 参数指定)。如果选择磁盘中的原始二进制文件,则所有 ESET 日志都将忽略 /Age:<days> 参数。对于其他日志(例如 Windows 事件日志、Microsoft SharePoint 日志或 IBM Domino 日志),将应用 /Age:<days> 参数,以便可以将非 ESET 日志记录限制在指定天数内,并无限期收集(复制)原始 ESET 二进制文件。 |
/NoSizeLimit - 禁用文件大小限制 (4GB)。
/OType:<xml|fbin|obin> - ESET 日志的收集格式:
•xml - 过滤的 XML
•fbin - 过滤的二进制文件(默认值)
•obin - 磁盘中的原始二进制文件
/All - 还要转换标记为“已删除”的记录。此参数仅当将收集的 ESET 二进制日志文件转换为 XML 或 TXT 时才适用。
参数 /All 支持转换所有日志记录,包括已通过主程序窗口删除但存在于标记为“已删除”的原始二进制文件中的记录(日志记录在主程序窗口中不可见)。 |
/UTC - 将日志记录的时间格式从本地时间转换为 UTC 格式。
/Targets:<id1>[,<id2>...] - 要收集的项目的列表。如果未指定,将收集默认集。特殊值“全部”表示所有目标。
/NoTargets:<id1>[,<id2>...] - 要跳过的项目的列表。此列表在“目标”列表后应用。
/Profile:<default|threat|all> - 收集配置文件是已定义的目标集:
•Default - 用于一般支持案例的配置文件
•Threat - 与威胁检测案例相关的配置文件
•All - 选择所有可用目标
/ProtectArch - 使用密码保护存档。
此示例命令将语言更改为意大利语。可以使用任意可用语言: ARE, BGR, CSY, DAN, DEU, ELL, ENU, ESL, ESN, ETI, FIN, FRA, FRC, HUN, CHS, CHT, ITA, JPN, KKZ, KOR, LTH, NLD, NOR, PLK, PTB, ROM, RUS, SKY, SLV, SVE, THA, TRK, UKR /lang: ITA |
此示例命令在“过滤的二进制文件”收集模式下收集 ESET 产品配置、关于已隔离文件的信息、ESET 事件日志、ESET 检测到的威胁日志和 ESET 计算机扫描日志,还收集过去 90 天的记录: start /wait ESETLogCollector.exe /age:90 /otype:fbin /targets:prodcnf,qinfo,warn,threat,ondem collected_eset_logs.zip |
此示例命令在“磁盘中的原始二进制文件”收集模式下收集运行进程、系统事件日志、ESET SysInspector 日志、ESET 产品配置、ESET 事件日志和常规产品诊断日志: start /wait ESETLogCollector.exe /otype:obin /targets:proc,evlogsys,sysin,prodcnf,warn,diag collected_diag_logs.zip |
此示例命令在“过滤的 XML”收集模式下收集 ERA 服务器代理日志、ERA 服务器日志、ERA 配置和 ERA Rogue Detection Sensor 日志,还收集过去 10 天的记录: start /wait ESETLogCollector.exe /age:10 /otype:xml /targets:eraag,erasrv,eraconf,erard collected_era_logs.zip |
此示例命令将收集的 ESET 二进制日志文件(计算机扫描日志)以及所有记录(包括标记为“已删除”的日志)转换为 XML 文件格式: start /wait ESETLogCollector.exe /bin2xml /all C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.xml
类似地,收集转换为文本文件的计算机扫描日志文件,但会忽略标记为“已删除”的日志: start /wait ESETLogCollector.exe /bin2txt C:\collected_eset_logs\ESET\Logs\Common\eScan\ndl27629.dat scan_log.txt |