Список артефактов/собираемые файлы

В этом разделе описаны файлы, которые будут содержаться в итоговом .zip-файле. Описание поделено на два подраздела на основании типа информации (файлы и артефакты).

Расположение/имя файла

Описание

metadata.txt

Содержит дату создания архива с расширением .zip, сведения о версии ESET Log Collector, версии программного продукта ESET и основную информацию о лицензии.

collector_log.txt

Копия файла журнала из графического интерфейса пользователя, которая содержит данные, полученные до момента создания файла с расширением .zip.

 

Процессы Windows

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Запущенные процессы

(открытые дескрипторы и загруженные библиотеки DLL)

Windows\Processes\Processes.txt

Текстовый файл, в котором содержится список процессов, запущенных на компьютере. Для каждого процесса указаны следующие элементы:

oИдентификатор процесса

oИдентификатор родительского процесса

oКоличество потоков

oКоличество открытых дескрипторов, сгруппированных по типу

oЗагруженные модули

oУчетная запись пользователя, от имени которого запущен процесс

oИспользование памяти

oОтметка о времени начала

oВремя ядра и время пользователя

oСтатистика ввода-вывода

oКомандная строка

Запущенные процессы

(открытые дескрипторы и загруженные библиотеки DLL)

Windows\ProcessesTree.txt

Текстовый файл, в котором содержится дерево запущенных на компьютере процессов. Для каждого процесса указаны следующие элементы:

oИдентификатор процесса

oУчетная запись пользователя, от имени которого запущен процесс

oОтметка о времени начала

oКомандная строка

 

Журналы Windows

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Журнал событий приложения

Windows\Logs\Application.xml

Журналы событий приложения Windows в пользовательском формате XML. Добавляются только сообщения за последние 30 дней.

Системный журнал событий

Windows\Logs\System.xml

Журналы событий системы Windows в пользовательском формате XML. Добавляются только сообщения за последние 30 дней.

Службы терминалов — журнал операционных событий LSM*

Windows\Logs\LocalSessionManager-Operational.evtx

Журнал событий Windows, содержащий информацию о сеансах RDP.

Журналы установки драйверов

Windows\Logs\catroot2_dberr.txt

Здесь содержится информация о каталогах, которые были добавлены в хранилище каталогов при установке драйверов.

Журналы SetupAPI*

Windows\Logs\SetupAPI\setupapi*.log

Текстовые журналы установки устройств и приложений.

Операционный журнал событий для действий WMI

Windows\Logs\WMI-Activity.evtx

Журнал событий Windows, содержащий данные отслеживания действий WMI. Добавляются только сообщения за последние 30 дней.

Журнал событий приложения

Windows\Logs\Application.evtx

Файл журнала событий приложения Windows. Добавляются только сообщения за последние 30 дней.

Системный журнал событий

Windows\Logs\System.evtx

Файл журнала событий системы Windows. Добавляются только сообщения за последние 30 дней.

Содержимое раздела реестра служб

 

 

Windows\Services.reg

Включает в себя содержимое раздела реестра KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Этот раздел может пригодиться в случае проблем с драйверами.

* Windows Vista и более новые версии

 

Конфигурация системы

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Сведения о дисках

Windows\drives.txt
Windows\volumes.txt

Текстовый файл с собранными данными о дисковых накопителях и томах.

Сведения об устройствах

Windows/devices/*.txt

Несколько текстовых файлов с собранными данными о классах и интерфейсах устройств.

Конфигурация сети

Config\network.txt

Текстовый файл с собранными данными о конфигурации сети. (Результат выполнения команды ipconfig /all)

Журнал ESET SysInspector

Config\SysInspector.xml

Журнал SysInspector в формате XML.

Каталог LSP Winsock

Config\WinsockLSP.txt

Собирает выходные данные команды «netsh winsock show catalog».

Фильтры WFP*

Config\WFPFilters.xml

XML-файл с собранными конфигурациями фильтров WFP.

Все содержимое реестра Windows

Windows\Registry\*

Собранные двоичные файлы с данными реестра Windows.

Список файлов во временных каталогах

Windows\TmpDirs\*.txt

Собранные текстовые файлы с содержимым временных каталогов системного пользователя: %windir%/temp, %TEMP% и %TMP%.

Запланированные задачи Windows

Windows\Scheduled Tasks\*.*

Полученные файлы xml, содержащие все задачи планировщика заданий Windows. Эти файлы помогают при обнаружении вредоносных программ, которые используют уязвимости планировщика заданий. Поскольку файлы расположены в подпапках, выполняется получение всей структуры папок.

Репозиторий WMI

Windows\WMI Repository\*.*

Полученные двоичные файлы, содержащие данные базы данных WMI (мета-информацию, определение и статические данные классов WMI). Эти файлы могут быть полезны при определении вредоносных программ, которые используют WMI для устойчивости (например, Turla). Поскольку файлы WMI могут быть расположены в подпапках, выполняется получение всей структуры папок.

Роли и функции Windows Server

Windows\server_features.txt

Текстовый файл, содержащий дерево всех компонентов Windows Server. Каждый компонент содержит следующую информацию:

oСостояние установки

oЛокализованное имя

oКодовое имя

oСостояние (доступно для Microsoft Windows Server 2012 и более новых версий)

* Windows 7 и более новые версии

 

Установщик ESET

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Журналы установщика ESET

ESET\Installer\*.log

Журналы установки, создаваемые при установке программ ESET NOD32 Antivirus и ESET Smart Security 10 Premium.

 

Журналы ESET Remote Administrator применяются также к ESET Security Management Center.

ESET Security Management Center (ESMC) и ESET Remote Administrator (ERA)

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Журналы ESMC/ERA Server

ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip

Создаются журналы серверной программы в архиве ZIP. Сюда включены журналы трассировки, состояния и последних ошибок.

Журналы агента ESMC/ERA

ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip

Создаются журналы программы агента в ZIP-архиве. Сюда включены журналы трассировки, состояния и последних ошибок.

Информация и дампы процессов ESMC/ERA*

ERA\Server\Process and old dump\RemoteAdministratorServerDiagnostic<datetime>.zip

Дампы серверных процессов.

Информация и дампы процессов ESMC/ERA*

ERA\Agent\Process and old dump\RemoteAdministratorAgentDiagnostic<datetime>.zip

Дампы процессов агента.

Конфигурация ESMC/ERA

ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip

Файлы, содержащие сведения о конфигурации сервера и информацию о приложении, в формате архива ZIP.

Конфигурация ESMC/ERA

ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip

Файлы, содержащие сведения о конфигурации агента и информацию о приложении, в формате архива ZIP.

Журналы ESMC/ERA Rogue Detection Sensor

ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip

ZIP-файл, содержащий журнал трассировки RD Sensor, журнал последних ошибок, журнал состояния, файл конфигурации, дампы и файлы общей информации.

Журналы ESMC/ERA MDMCore

ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip

ZIP-файл, содержащий журнал трассировки MDMCore, журнал последних ошибок, журнал состояния, дампы и файлы общей информации.

Журналы прокси-сервера ESMC/ERA

ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip

ZIP-файл, содержащий журнал трассировки прокси-сервера ERA, журнал последних ошибок, журнал состояния, файл конфигурации, дампы и файлы общей информации.

База данных агента ESMC/ERA

ERA\Agent\Database\data.db

Файл базы данных агента ESMC/ERA.

Конфигурация Apache Tomcat

ERA\Apache\Tomcat\conf\*.*

Файлы конфигурации Apache Tomcat. Содержит копию файла server.xml без конфиденциальной информации.

Журналы Apache Tomcat

ERA\Apache\Tomcat\logs\*.log

ERA\Apache\Tomcat\EraAppData\logs\*.log

ERA\Apache\Tomcat\EraAppData\WebConsole\*.log

Журналы Apache Tomcat в текстовом формате, расположенные в каталоге установки или каталоге приложения Apache Tomcat. Также содержит журналы веб-консоли.

Конфигурация прокси-сервера Apache HTTP

ERA\Apache\Proxy\conf\httpd.conf

Файл конфигурации прокси-сервера Apache HTTP.

Журналы прокси-сервера Apache HTTP

ERA\Apache\Proxy\logs\*.log

Журналы прокси-сервера Apache HTTP в текстовом формате расположены.

*ESMC/ERA Server или агент ESMC/ERA

 

Конфигурация ESET

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Конфигурация продукта ESET

info.xml

Информационный XML-файл, содержащий подробные сведения об установленном на компьютере программном продукте ESET. В нем содержится основная информация о системе, сведения об установленном программном продукте и список модулей продукта.

Конфигурация продукта ESET

versions.csv

Начиная с версии 4.0.3.0 файл всегда добавляется (без каких-либо зависимостей). Он содержит сведения об установленном продукте. Для добавления файл versions.csv должен находиться в каталоге AppData продукта ESET.

Конфигурация продукта ESET

features_state.txt

Содержит список функций продукта ESET и их состояния (активны, неактивны, не интегрированы). Файл собирается всегда и не привязан ни к одному из выбираемых артефактов.

Конфигурация продукта ESET

Configuration\product_conf.xml

Создается XML-файл, содержащий сведения о конфигурации экспортируемого программного продукта.

Список файлов в каталоге данных и установки ESET

ESET\Config\data_dir_list.txt

Создается текстовый файл, содержащий список файлов в каталоге ESET AppData и всех его подкаталогах.

Список файлов в каталоге данных и установки ESET

ESET\Config\install_dir_list.txt

Создается текстовый файл, содержащий список файлов в каталоге ESET Install и всех его подкаталогах.

Драйверы ESET

ESET\Config\drivers.txt

Выполняется сбор информации об установленных драйверах ESET.

Конфигурация персонального файервола ESET

ESET\Config\EpfwUser.dat

Копируется файл, содержащий конфигурацию персонального файервола ESET.

Содержимое раздела реестра ESET

ESET\Config\ESET.reg

Включает в себя содержимое раздела реестра HKLM\SOFTWARE\ESET.

Каталог Winsock LSP

Config/WinsockLSP.txt

Собирает выходные данные команды «netsh winsock show catalog».

Последняя примененная политика

ESET\Config\lastPolicy.dat

Политика, применяемая решением ESMC/ERA.

Компоненты ESET

ESET\Config\msi_features.txt

Полученная информация о доступных компонентах установщика MSI продукта ESET.

Конфигурация системы HIPS

ESET\Config\HipsRules.bin

Данные правил системы HIPS.

Конфигурация домашней сети

ESET\Config\homenet.dat

Данные домашней сети.

 

Карантин

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Информация о файлах на карантине

ESET\Quarantine\quar_info.txt

Создается текстовый файл со списком объектов, помещенных на карантин.

Небольшие файлы на карантине (< 250 КБ)

ESET\Quarantine\*.*(< 250KB)

Помещать на карантин файлы размером менее 250 КБ.

Большие файлы на карантине (> 250 КБ)

ESET\Quarantine\*.*(> 250KB)

Помещать на карантин файлы размером более 250 КБ.

 

Журналы ESET

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Журнал событий ESET

ESET\Logs\Common\warnlog.dat

Журнал событий программного продукта ESET в двоичном формате.

Журнал обнаруженных угроз (ESET)

ESET\Logs\Common\virlog.dat

Журнал ESET обнаруженных угроз в двоичном формате.

Журналы сканирования компьютера ESET

ESET\Logs\Common\eScan\*.dat

Журнал(-ы) ESET сканирования компьютера в двоичном формате.

Журнал ESET HIPS*

ESET\Logs\Common\hipslog.dat

Журнал ESET HIPS в двоичном формате.

Журналы родительского контроля ESET*

ESET\Logs\Common\parentallog.dat

Журнал родительского контроля ESET в двоичном формате.

Журнал контроля устройств ESET*

ESET\Logs\Common\devctrllog.dat

Журнал контроля устройств ESET в двоичном формате.

Журнал защиты веб-камеры ESET*

ESET\Logs\Common\webcamlog.dat

Журнал защиты веб-камеры ESET в двоичном формате.

Журналы сканирования серверной базы данных по требованию (ESET)

ESET\Logs\Common\ServerOnDemand\*.dat

Журнал(-ы) ESET сканирования сервера по требованию в двоичном формате.

Журналы ESET сканирования сервера Hyper-V

ESET\Logs\Common\HyperVOnDemand\*.dat

Журнал(ы) ESET сканирования сервера Hyper-V в двоичном формате.

Журналы сканирования MS OneDrive

ESET\Logs\Common\O365OnDemand\*.dat

Журнал(ы) сканирования MS OneDrive в двоичном формате.

Журнал заблокированных файлов ESET

ESET\Logs\Common\blocked.dat

Журнал(ы) заблокированных файлов ESET в двоичном формате.

Журнал отправленных файлов ESET

ESET\Logs\Common\sent.dat

Журнал(ы) отправленных файлов ESET в двоичном формате.

Журнал аудита ESET

ESET\Logs\Common\audit.dat

Журналы аудита ESET в двоичном формате.

* Этот параметр отображается, только если файл существует.

 

Сетевые журналы ESET

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Журнал защиты сети ESET*

ESET\Logs\Net\epfwlog.dat

Журнал защиты сети ESET в двоичном формате.

Журнал отфильтрованных веб-сайтов (ESET)*

ESET\Logs\Net\urllog.dat

Журнал ESET отфильтрованных веб-сайтов в двоичном формате.

Журнал контроля доступа в Интернет ESET*

ESET\Logs\Net\webctllog.dat

Журнал контроля доступа в Интернет ESET в двоичном формате.

Журналы ESET pcap

ESET\Logs\Net\EsetProxy*.pcapng

Копируются журналы ESET pcap.

* Этот параметр отображается, только если файл существует.

 

Диагностика ESET

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

База данных локального кэша

ESET\Diagnostics\local.db

База данных просканированных файлов ESET.

Журналы общей диагностики программы

ESET\Diagnostics\*.*

Файлы (мини-дампы) из папки диагностики ESET.

Журналы диагностики ECP

ESET\Diagnostics\ECP\*.xml

Журналы диагностики протокола передачи данных ESET создаются при проблемах с активацией продукта или подключением к серверам активации.

 

ESET Secure Authentication

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Журналы ESA

ESA\*.log

Выполняется экспорт журналов из программы ESET Secure Authentication.

 

ESET Enterprise Inspector

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Журналы сервера EEI

EEI\Server\Logs\*.log

Текстовые журналы сервера.

Журналы агента EEI

EEI\Agent\Logs\*.log

Текстовые журналы агента.

Конфигурация сервера EEI

EEI\Server\eiserver.ini

Файл .ini, содержащий конфигурацию сервера.

Конфигурация агента EEI

EEI\Agent\eiagent.ini

Файл .ini, содержащий конфигурацию агента.

Политика сервера EEI

EEI\Server\eiserver.policy.ini

Файл .ini, содержащий политику сервера.

Политика агента EEI

EEI\Agent\eiagent.policy.ini

Файл .ini, содержащий политику агента.

Сертификаты сервера EEI

EEI\Server\Certificates\*.*

Содержит файлы сертификации, используемые сервером. Поскольку файлы расположены в подпапках, выполняется получение всей структуры папок.

Сертификаты агента EEI

EEI\Agent\Certificates\*.*

Содержит файлы сертификации, используемые агентом. Поскольку файлы расположены в подпапках, выполняется получение всей структуры папок.

Дампы сервера EEI

EEI\Server\Diagnostics\*.*

Файлы дампа сервера.

Конфигурация сервера MySQL

EEI\My SQL\my.ini

Файл .ini, содержащий конфигурацию сервера MySQL Server, который используется продуктом EEI Server.

Журналы сервера MySQL

EEI\My SQL\EEI.err

Текстовый журнал ошибок сервера MySQL Server, который используется продуктом EEI Server.

 

ESET Full Disk Encryption

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Журналы EFDE

EFDE\AIS\Logs\*.*
EFDE\Core\*.log

Экспортированные журналы (AIS и Core) из ESET Full Disk Encryption.

Данные лицензии EFDE

EFDE\AIS\Licesne\*.*

Файлы данных лицензии EFDE.

Конфигурация EFDE

EFDE\AIS\lastpolicy.dat

Содержит конфигурацию EFDE.

 

Журналы электронной почты ESET (ESET Mail Security for Exchange, ESET Mail Security for Domino)

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Журнал спама (ESET)

ESET\Logs\Email\spamlog.dat

Журнал спама (ESET) в двоичном формате.

Журнал серого списка ESET

ESET\Logs\Email\greylistlog.dat

Журнал серого списка ESET в двоичном формате.

Журнал защиты SMTP ESET

ESET\Logs\Email\smtpprot.dat

Журнал защиты SMTP ESET в двоичном формате.

Журнал защиты почтового сервера ESET

ESET\Logs\Email\mailserver.dat

Журнал защиты почтового сервера ESET в двоичном формате.

Журналы диагностической обработки электронной почты (ESET)

ESET\Logs\Email\MailServer\*.dat

Журналы диагностической обработки электронной почты ESET в двоичном формате, выполняется копирование прямо с диска.

Журнал спама (ESET)*

ESET\Logs\Email\spamlog.dat

Журнал спама (ESET) в двоичном формате.

Журналы конфигурации и диагностики модуля защиты от спама ESET

ESET\Logs\Email\Antispam\antispam.*.log

ESET\Config\Antispam\*.*

Выполняется копирование журналов конфигурации и диагностики модуля защиты от спама ESET.

* Этот параметр отображается, только если файл существует.

 

Журналы ESET SharePoint (ESET Security for SharePoint)

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

ESET SHPIO.log

ESET\Log\ESHP\SHPIO.log

Журнал диагностики ESET из служебной программы SHPIO.exe.

 

Журналы определенных продуктов: эти параметры доступны для конкретных продуктов.

Domino (ESET Mail Security for Domino)

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Журналы Domino IBM_TECHNICAL_SUPPORT и файл notes.ini

LotusDomino\Log\notes.ini

Файл конфигурации IBM Domino.

Журналы Domino IBM_TECHNICAL_SUPPORT и файл notes.ini

LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.*

Журналы IBM Domino, не старше 30 дней.

 

MS SharePoint (ESET Security for SharePoint)

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Журналы MS SharePoint

SharePoint\Logs\*.log

Журналы MS SharePoint, не старше 30 дней.

Содержимое раздела реестра SharePoint

SharePoint\WebServerExt.reg

Включает в себя содержимое раздела реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions. Доступно только в случае, если установлена программа ESET Security for SharePoint.

 

MS Exchange (ESET Mail Security for Exchange)

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Регистрация агентов транспорта MS Exchange

Exchange\agents.config

Файл конфигурации регистрации агентов транспорта MS Exchange. Для Microsoft Exchange Server 2007 и более новых версий.

Регистрация агентов транспорта MS Exchange

Exchange\sinks_list.txt

Дамп регистрации приемников событий MS Exchange. Для Microsoft Exchange Server 2000 и 2003.

Журналы веб-служб MS Exchange

Exchange\EWS\*.log

Сбор журналов веб-служб Exchange Server.

 

Kerio Connect (ESET Security for Kerio)

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Конфигурация Kerio Connect

Kerio\Connect\mailserver.cfg

Файл конфигурации Kerio Connect.

Журналы Kerio Connect

Kerio\Connect\Logs\{mail,error,security,debug,warning}.log

Выбранные файлы журналов Kerio Connect.

 

Kerio Control (ESET Security for Kerio)

Имя артефакта

Профиль сбора

Расположение/имя файла

Описание

По умолчанию

Обнаружение угроз

Конфигурация Kerio Control

Kerio\Connect\winroute.cfg

Файл конфигурации Kerio Control.

Журналы Kerio Control

Kerio\Connect\Logs\{alert,error,security,debug,warning}.log

Выбранные файлы журналов Kerio Control.