Seznam objektů k sesbírání

V této kapitole uvádíme popis souborů, které naleznete ve výsledném .zip archivu. Popis je rozdělen do několika sekcí, v závislosti na typu sesbíraných dat.

Umístění / Název souboru

Popis

metadata.txt

Obsahuje informace o čase vytvoření .zip archivu, verzi ESET Log Collector, bezpečnostního produktu ESET a základní informace o licenci.

collector_log.txt

Kopie textového protokolu, ve kterém jsou uvedeny informace o provedených akcí (od spuštění sběru dat až po vytvoření .zip archivu).

 

Procesy Windows

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Běžící procesy

(otevřené popisovače a načtené DLL)

Windows\Processes\Processes.txt

Textový soubor obsahující seznam běžících procesů na daném počítači. U každého procesu jsou uvedeny následující informace:

oPID

oPID nadřazeného procesu

oPočet vláken

oPočet otevřených popisovačů seskupených podle typu

oNačtené moduly

oUživatelský účet, pod kterým je proces spuštěn

oVyužití paměti

oČasové razítko startu

oČas uživatele a jádra

oI/O statistiky

oPříkazový řádek

Běžící procesy

(otevřené popisovače a načtené DLL)

Windows\ProcessesTree.txt

Textový soubor obsahující seznam běžících procesů na daném počítači. U každého procesu jsou uvedeny následující informace:

oPID

oUživatelský účet, pod kterým je proces spuštěn

oČasové razítko startu

oPříkazový řádek

 

Protokoly Windows

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokol událostí aplikací

Windows\Logs\Application.xml

Protokoly událostí aplikací Windows ve vlastním formátu XML. Záznamy jsou pouze za posledních 30 dní.

Protokol událostí systému

Windows\Logs\System.xml

Protokoly událostí systému Windows ve vlastním formátu XML. Záznamy jsou pouze za posledních 30 dní.

Terminálové služby – LSM protokol událostí*

Windows\Logs\LocalSessionManager-Operational.evtx

Protokol událostí ve Windows obsahuje informace o RDP relacích.

Protokoly z instalace ovladačů

Windows\Logs\catroot2_dberr.txt

Obsahuje informace o katalogu, který byl v průběhu instalace ovladače přidán do "catstore".

SetupAPI protokoly*

Windows\Logs\SetupAPI\setupapi*.log

Textové protokoly z instalace zařízení a aplikací.

Protokol událostí aktivit WMI

Windows\Logs\WMI-Activity.evtx

Protokol událostí systému Windows obsahující data trasování aktivity WMI. Záznamy jsou pouze za posledních 30 dní.

Protokol událostí aplikací

Windows\Logs\Application.evtx

Soubor protokolů událostí aplikací Windows. Záznamy jsou pouze za posledních 30 dní.

Protokol událostí systému

Windows\Logs\System.evtx

Soubor protokolů událostí systému Windows. Záznamy jsou pouze za posledních 30 dní.

Obsah klíče registru služeb

 

 

Windows\Services.reg

Obsah klíče registru KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Získání klíče je užitečné v případě problémů s ovladači.

*Platí pro Windows Vista a novější

 

Nastavení systému

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Informace o jednotkách

Windows\drives.txt
Windows\volumes.txt

Textový soubor obsahující informace o připojených discích a jednotkách.

Informace o zařízení

Windows/devices/*.txt

Více textových souborů obsahující informace o třídách a rozhraních jednotlivých zařízení.

Nastavení sítě

Config\network.txt

Získaný textový soubor obsahuje informace o konfiguraci sítě. (Výstup příkazu ipconfig /all)

ESET SysInspector protokol

Config\SysInspector.xml

Protokol z aplikace SysInspector ve formátu XML.

Winsock LSP katalog

Config\WinsockLSP.txt

Výstup příkazu netsh winsock show catalog.

WFP filtry*

Config\WFPFilters.xml

Obsah konfigurace WFP filtrů v XML formátu.

Kompletní obsah registru Windows

Windows\Registry\*

Binární soubory obsahující data z registru Windows.

Seznam souborů v dočasných složkách

Windows\TmpDirs\*.txt

Více textových souborů se seznamem souborů v uživatelských dočasných adresářích %windir%/temp, %TEMP% a %TMP%.

Naplánované úlohy Windows

Windows\Scheduled Tasks\*.*

Ve více xml souborech naleznete všechny úlohy z Plánovače úloh systému Windows, což vám může pomoci odhalit malware, který zneužívá Plánovač úloh. Protože jsou soubory umístěny v podsložkách, je shromažďována celá struktura.

WMI repozitář

Windows\WMI Repository\*.*

Ve více binárních souborech naleznete data databáze WMI (meta-informace, definice a statická data tříd WMI). Shromáždění těchto souborů vám může pomoci při identifikaci malware, který používá WMI v rámci zajištění perzistence v systému (například Turla). Protože jsou soubory umístěny v podsložkách, je shromažďována celá struktura.

Role a funkce Windows Server

Windows\server_features.txt

Textový soubor obsahující strom všech funkcí Windows Server. U každé funkce jsou uvedeny následující informace:

oInstalovaný stav

oLokalizovaný název

oKódové jméno

oStav (dostupné od Microsoft Windows Server 2012)

*Platí pro Windows 7 a novější

 

Instalátor ESET

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokoly instalačního balíčku ESET

ESET\Installer\*.log

Instalační protokoly vytvořené automaticky při instalaci produktu ESET (ESET NOD32 Antivirus, ESET Smart Security, ESET Smart Security Premium).

 

Protokoly ESET Remote Administrator, platí rovněž pro ESET Security Management Center.

ESET Security Management Center (ESMC) a ESET Remote Administrator (ERA)

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokoly ERA/ESMC serveru

ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip

Vytvoří v archivu složku s protokoly serveru. Obsahuje trace, status a last-error protokoly.

Protokoly ERA/ESMC agenta

ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip

Vytvoří v archivu složku s protokoly agenta. Obsahuje trace, status a last-error protokoly.

Informace a výpisy procesu ERA/ESMC komponent*

ERA\Server\Process and old dump\RemoteAdministratorServerDiagnostic<datetime>.zip

Vytvoří dumpy serveru.

Informace a výpisy procesu ERA/ESMC komponent*

ERA\Agent\Process and old dump\RemoteAdministratorAgentDiagnostic<datetime>.zip

Vytvoří dumpy agenta.

Nastavení ERA/ESMC komponent

ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip

Do archivu přidá aplikační informace a konfiguraci serveru.

Nastavení ERA/ESMC komponent

ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip

Do archivu přidá aplikační informace a konfiguraci agenta.

Protokoly ESET Rogue Detection Sensor

ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip

Do archivu přidá trace log, last-error log, status log, konfiguraci, dump a informační soubory RD Sensoru.

Protokoly ERA/ESMC MDMCore

ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip

Do archivu přidá trace log, last-error log, status log, konfiguraci, dump a informační soubory MDMCore.

Protokoly ERA Proxy

ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip

Do archivu přidá trace log, last-error log, status log, konfiguraci, dump a informační soubory ERA Proxy.

Databáze ESMC/ERA Agenta

ERA\Agent\Database\data.db

Databázový soubor ESMC/ERA Agenta.

Konfigurace Apache Tomcat

ERA\Apache\Tomcat\conf\*.*

Konfigurační soubory Apache Tomcat, obsahuje rovněž kopii souboru server.xml bez citlivých informací.

Protokoly Apache Tomcat

ERA\Apache\Tomcat\logs\*.log

ERA\Apache\Tomcat\EraAppData\logs\*.log

ERA\Apache\Tomcat\EraAppData\WebConsole\*.log

Protokoly Apache Tomcat v textové podobě nacházející se v instalační složce Apache Tomcat nebo složce s aplikací. Obsahuje rovněž protokoly WebConsole.

Konfigurace Apache HTTP Proxy

ERA\Apache\Proxy\conf\httpd.conf

Konfigurační soubor Apache HTTP Proxy.

Protokoly Apache HTTP Proxy

ERA\Apache\Proxy\logs\*.log

Protokoly Apache HTTP Proxy v textové podobě.

*ESMC/ERA Server nebo ESMC/ERA Agent

 

Nastavení produktu ESET

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Nastavení produktu ESET

info.xml

XML soubor obsahující základní informace o nainstalovaném produktu ESET. Obsahuje základní informace o systému, licenci a použitých modulech.

Nastavení produktu ESET

versions.csv

Soubor versions.csv je od verze 4.0.3.0 sesbírán vždy, bez dalších závislostí, pokud existuje ve složce ESET AppData. Obsahuje informace o nainstalovaném produktu.

Nastavení produktu ESET

features_state.txt

Informace o funkcích produktu a jejich stavech (aktivní, neaktivní, neintegrováno). Soubor je sesbírán vždy, bez ohledu na vybraný objekt.

Nastavení produktu ESET

Configuration\product_conf.xml

Exportovaná konfigurace produktu ve formátu XML.

Seznam souborů v datových a instalačních složkách produktu ESET

ESET\Config\data_dir_list.txt

Textový soubor obsahující seznam souborů ve složce ESET AppData a podsložkách.

Seznam souborů v datových a instalačních složkách produktu ESET

ESET\Config\install_dir_list.txt

Textový soubor obsahující seznam souborů ve složce ESET Install a podsložkách.

ESET ovladače

ESET\Config\drivers.txt

Informace o nainstalovaných ESET ovladačích.

Nastavení ESET Personálního firewallu

ESET\Config\EpfwUser.dat

Kopie souboru s konfigurací ESET Personálního firewallu.

Klíče registru produktu ESET

ESET\Config\ESET.reg

Obsah klíče HKLM\SOFTWARE\ESET

Winsock LSP katalog

Config/WinsockLSP.txt

Výstup příkazu netsh winsock show catalog.

Naposledy aplikovaná politika

ESET\Config\lastPolicy.dat

Politika uplatňovaná ESMC / ERA.

ESET komponenty

ESET\Config\msi_features.txt

Sesbírané informace o komponentách instalátoruMSI dostupného produktu ESET.

Konfigurace HIPS

ESET\Config\HipsRules.bin

Data o HIPS pravidlech.

Konfigurace Domácí sítě

ESET\Config\homenet.dat

Data monitorování domácí sítě.

 

Karanténa

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Informace o souborech v karanténě

ESET\Quarantine\quar_info.txt

Textový soubor obsahující seznam objektů v karanténě.

Malé soubory v karanténě (< 250KB)

ESET\Quarantine\*.*(< 250KB)

Soubory umístěné v karanténě menší než 250 KB.

Velké soubory v karanténě (> 250KB)

ESET\Quarantine\*.*(> 250KB)

Soubory umístěné v karanténě větší než 250 KB.

 

Protokoly produktu ESET

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokol událostí produktu ESET

ESET\Logs\Common\warnlog.dat

Protokol událostí produktu ESET v binárním formátu.

Protokol zachycených hrozeb

ESET\Logs\Common\virlog.dat

Protokol zachycených hrozeb produktu ESET v binárním formátu.

Protokol provedených volitelných kontrol

ESET\Logs\Common\eScan\*.dat

Protokol provedených volitelných kontrol produktem ESET v binárním formátu.

Protokol modulu HIPS*

ESET\Logs\Common\hipslog.dat

Protokol modulu HIPS produktu ESET v binárním formátu.

Protokol rodičovské kontroly*

ESET\Logs\Common\parentallog.dat

Protokol rodičovské kontroly produktu ESET v binárním formátu.

Protokol správy zařízení*

ESET\Logs\Common\devctrllog.dat

Protokol modulu správa zařízení produktu ESET v binárním formátu.

Protokol ochrany webkamery*

ESET\Logs\Common\webcamlog.dat

Protokol modulu ochrana webkamery produktu ESET v binárním formátu.

Protokol provedených volitelných kontrol databáze

ESET\Logs\Common\ServerOnDemand\*.dat

Protokol provedených volitelných kontrol produktem ESET v binárním formátu.

Protokoly Hyper-V kontroly

ESET\Logs\Common\HyperVOnDemand\*.dat

Protokol provedených volitelných kontrol produktem ESET v binárním formátu.

Protokol OneDrive kontrol

ESET\Logs\Common\O365OnDemand\*.dat

Protokol provedených OneDrive kontrol produktem ESET v binárním formátu.

Protokol zablokovaných souborů

ESET\Logs\Common\blocked.dat

Protokol zablokovaných souborů produktem ESET v binárním formátu.

Protokol odeslaných souborů

ESET\Logs\Common\sent.dat

Protokol odeslaných souborů produktem ESET v binárním formátu.

ESET Audit log

ESET\Logs\Common\audit.dat

ESET Audit log v binárním formátu.

*Tato možnost je dostupná pouze v případě, kdy daný soubor existuje.

 

Protokoly síťové ochrany produktu ESET

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokol síťové ochrany*

ESET\Logs\Net\epfwlog.dat

Protokol síťové ochrany produktu ESET v binárním formátu.

Protokol filtrovaných webových stránek*

ESET\Logs\Net\urllog.dat

Protokol filtrovaných webových stránek v binárním formátu.

Protokol filtrování obsahu webu*

ESET\Logs\Net\webctllog.dat

Protokol modulu filtrování obsahu webu v binárním formátu.

ESET pcap protokoly

ESET\Logs\Net\EsetProxy*.pcapng

Kopie ESET pcap protokolů.

*Tato možnost je dostupná pouze v případě, kdy daný soubor existuje.

 

ESET diagnostika

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Databáze lokální cache

ESET\Diagnostics\local.db

Databáze kontrolovaných souborů.

Obecné diagnostické protokoly produktu

ESET\Diagnostics\*.*

Soubory (mini dumpy) z diagnostické složky produktu ESET.

ECP diagnostické protokoly

ESET\Diagnostics\ECP\*.xml

Diagnostické protokoly ESET Communication Protocol generované v případě problémů s aktivací produktu zachycující komunikaci s aktivačními servery.

 

ESET Secure Authentication

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

ESA protokoly

ESA\*.log

Exportované protokoly ESET Secure Authentication.

 

ESET Enterprise Inspector

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokoly EEI Serveru

EEI\Server\Logs\*.log

Textové protokoly serveru.

Protokoly EEI Agenta

EEI\Agent\Logs\*.log

Textové protokoly agenta.

Konfigurace EEI serveru

EEI\Server\eiserver.ini

Soubor .ini obsahující nastavení serveru.

Konfigurace EEI Agenta

EEI\Agent\eiagent.ini

Soubor .ini obsahující nastavení agenta.

Politika EEI Serveru

EEI\Server\eiserver.policy.ini

Soubor .ini obsahující politiky serveru.

Politika EEI Agenta

EEI\Agent\eiagent.policy.ini

Soubor .ini obsahující politiky agenta.

Certifikáty EEI Serveru

EEI\Server\Certificates\*.*

Obsahuje certifikáty používané serverem. Protože jsou soubory umístěny v podsložkách, je shromažďována celá struktura.

Certifikáty EEI Agenta

EEI\Agent\Certificates\*.*

Obsahuje certifikáty používané agentem. Protože jsou soubory umístěny v podsložkách, je shromažďována celá struktura.

Dumpy EEI Serveru

EEI\Server\Diagnostics\*.*

Soubory výpisu serverových produktů.

Konfigurace MySQL Serveru

EEI\My SQL\my.ini

Soubor .ini obsahující nastavení MySQL Serveru používaného EEI serverem.

Protokoly MySQL Serveru

EEI\My SQL\EEI.err

Protokol výpisu chyb MySQL Serveru používaného EEI serverem.

 

ESET Full Disk Encryption

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokoly EFDE

EFDE\AIS\Logs\*.*
EFDE\Core\*.log

Exportované protokoly (AIS a jádro) z aplikace ESET Full Disk Encryption.

Licenční údaje EFDE

EFDE\AIS\Licesne\*.*

Licenční soubory EFDE.

Konfigurace EFDE

EFDE\AIS\lastpolicy.dat

Obsahuje konfiguraci EFDE.

 

Protokoly poštovní ochrany produktu ESET (ESET Mail Security for Exchange, ESET Mail Security for Domino)

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokol antispamové ochrany

ESET\Logs\Email\spamlog.dat

Protokol antispamové ochrany produktu ESET v binárním formátu.

Protokol greylistingové ochrany

ESET\Logs\Email\greylistlog.dat

Protokol greylistingové ochrany produktu ESET v binárním formátu.

Protokol SMTP ochrany

ESET\Logs\Email\smtpprot.dat

Protokol SMTP ochrany produktu ESET v binárním formátu.

Protokoly ochrany poštovního serveru

ESET\Logs\Email\mailserver.dat

Protokoly ochrany poštovního serveru produktu ESET v binárním formátu.

Diagnostický protokol zpracovaných e-mailů

ESET\Logs\Email\MailServer\*.dat

Diagnostický protokol zpracovaných e-mailů produktem ESET v binárním formátu.

Protokol antispamové ochrany*

ESET\Logs\Email\spamlog.dat

Protokol antispamové ochrany produktu ESET v binárním formátu.

Nastavení a diagnostické protokoly antispamové ochrany

ESET\Logs\Email\Antispam\antispam.*.log

ESET\Config\Antispam\*.*

Nastavení a diagnostické protokoly antispamové ochrany.

*Tato možnost je dostupná pouze v případě, kdy daný soubor existuje.

 

Protokoly ESET SharePoint (ESET Security for SharePoint)

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

ESET SHPIO.log

ESET\Log\ESHP\SHPIO.log

ESET diagnostický protokol vytvořený nástrojem SHPIO.exe.

 

Protokoly specifické k produktu – níže uvedené možnosti jsou dostupné v konkrétních produktech.

Domino (ESET Mail Security for Domino)

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokoly IBM_TECHNICAL_SUPPORT + notes.ini

LotusDomino\Log\notes.ini

Konfigurační soubor IBM Domino.

Protokoly IBM_TECHNICAL_SUPPORT + notes.ini

LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.*

Protokoly IBM Domino obsahující záznamy nejvýše za posledních 30 dní.

 

MS SharePoint (ESET Security for SharePoint)

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Protokoly MS SharePoint

SharePoint\Logs\*.log

Protokoly MS SharePoint obsahující záznamy nejvýše za posledních 30 dní.

Klíče registru SharePoint serveru

SharePoint\WebServerExt.reg

Obsah klíče registru HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions. Dostupné pouze v případě, kdy je ESET Security for SharePoint nainstalován.

 

MS Exchange (ESET Mail Security for Exchange)

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Registrovaní transportní agenti MS Exchange

Exchange\agents.config

Konfigurační soubor s registrovanými transportními agenty. Dostupné od Microsoft Exchange Server 2007.

Registrovaní transportní agenti MS Exchange

Exchange\sinks_list.txt

Výpis registrovaných posluchačů událostí (sinks) MS Exchange. Dostupné na Microsoft Exchange Server 2000 a 2003.

MS Exchange EWS protokoly

Exchange\EWS\*.log

Sesbírané protokoly EWS Exchange serveru.

 

Kerio Connect (ESET Security for Kerio)

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Nastavení Kerio Connect

Kerio\Connect\mailserver.cfg

Konfigurační soubor Kerio Connect.

Protokoly Kerio Connect

Kerio\Connect\Logs\{mail,error,security,debug,warning}.log

Vybrané protokoly Kerio Connect.

 

Kerio Control (ESET Security for Kerio)

Název objektu

Profil

Umístění / Název souboru

Popis

Výchozí

Detekované hrozby

Nastavení Kerio Control

Kerio\Connect\winroute.cfg

Konfigurační soubor Kerio Control.

Protokoly Kerio Control

Kerio\Connect\Logs\{alert,error,security,debug,warning}.log

Vybrané protokoly Kerio Control.