Liste der Artefakte / gesammelten Dateien

Dieser Abschnitt beschreibt die Dateien, die in der .zip-Ergebnisdatei enthalten sind. Die Beschreibung ist anhand des Informationstyps (Dateien und Artefakte) in Unterabschnitte aufgeteilt.

Speicherort / Dateiname

Beschreibung

metadata.txt

Enthält das Erstellungsdatum des .zip-Archivs, die ESET Log Collector-Version, die Version des ESET-Produkts und grundlegende Lizenzinformationen.

collector_log.txt

Eine Kopie der Log-Datei aus der GUI mit Daten bis zum Zeitpunkt, an dem die .zip-Datei erstellt wird.

 

Windows-Prozesse

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

Laufende Prozesse

offene Handles und geladene DLLs

Windows\Processes\Processes.txt

Textdatei mit einer Liste aller laufenden Prozesse auf dem Computer. Für jeden Prozess werden die folgenden Daten ausgegeben:

oPID

oÜbergeordnete PID

oAnzahl der Threads

oAnzahl der offenen Handles gruppiert nach Typ

oGeladene Module

oAusführendes Benutzerkonto

oSpeichernutzung

oZeitstempel des Starts

oKernel- und Benutzerzeit

oE/A-Statistiken

oBefehlszeile

Laufende Prozesse

offene Handles und geladene DLLs

Windows\ProcessesTree.txt

Textdatei mit einer Baumstruktur aller laufenden Prozesse auf dem Computer. Für jeden Prozess werden die folgenden Daten ausgegeben:

oPID

oAusführendes Benutzerkonto

oZeitstempel des Starts

oBefehlszeile

 

Windows-Logs

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

Anwendungsereignis-Log

Windows\Logs\Application.xml

Windows-Anwendungsereignis-Logs in einem benutzerdefinierten XML-Format. Nur Nachrichten der letzten 30 Tage sind enthalten.

Systemereignis-Log

Windows\Logs\System.xml

Windows-Systemereignis-Logs in einem benutzerdefinierten XML-Format. Nur Nachrichten der letzten 30 Tage sind enthalten.

Terminaldienste - Log-Ereignisse aus dem LSM-Betrieb*

Windows\Logs\LocalSessionManager-Operational.evtx

Windows-Ereignis-Log mit Informationen zu RDP-Sitzungen.

Treiber-Installations-Logs

Windows\Logs\catroot2_dberr.txt

Enthält Informationen über Kataloge, die bei der Treiberinstallation zum „catstore“ hinzugefügt wurden.

SetupAPI-Logs*

Windows\Logs\SetupAPI\setupapi*.log

Text-Logs von Geräte- und Anwendungsinstallationen.

Ereignis-Log für WMI-Aktivitäten

Windows\Logs\WMI-Activity.evtx

Windows-Ereignis-Log mit Ablaufdaten zu WMI-Aktivitäten. Nur Nachrichten der letzten 30 Tage sind enthalten.

Anwendungsereignis-Log

Windows\Logs\Application.evtx

Windows-Anwendungsereignis-Log. Nur Nachrichten der letzten 30 Tage sind enthalten.

Systemereignis-Log

Windows\Logs\System.evtx

Windows-Systemereignis-Log. Nur Nachrichten der letzten 30 Tage sind enthalten.

Inhalt des Dienstregistrierungsschlüssels

 

 

Windows\Services.reg

Enthält den Inhalt des Registrierungsschlüssels von KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Dieser Schlüssel kann bei der Behebung von Treiberproblemen hilfreich sein.

*Windows Vista und neuer

 

Systemkonfiguration

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

Laufwerksinformationen

Windows\drives.txt
Windows\volumes.txt

Textdatei mit Informationen zu Laufwerken und Volumes.

Geräteinfo

Windows/devices/*.txt

Mehrere gesammelte Textdateien mit Klassen- und Schnittstelleninformationen für die Geräte.

Netzwerkkonfiguration

Config\network.txt

Textdatei mit der Netzwerkkonfiguration. (Resultat der Ausführung von ipconfig /all)

ESET SysInspector-Log

Config\SysInspector.xml

SysInspector-Log im XML-Format.

Winsock LSP-Katalog

Config\WinsockLSP.txt

Ausgabe des Befehls „netsh winsock show catalog“.

WFP-Filter*

Config\WFPFilters.xml

Konfiguration der WFP-Filter im XML-Format.

Vollständiger Inhalt der Windows-Registrierung

Windows\Registry\*

Mehrere Binärdateien mit den Windows-Registrierungsdaten.

Liste der Dateien in temporären Verzeichnissen

Windows\TmpDirs\*.txt

Mehrere Textdateien mit dem Inhalt der Temp-Verzeichnisse des Systembenutzers sowie der Verzeichnisse %windir%/temp, %TEMP% und %TMP%.

Geplante Windows-Tasks

Windows\Scheduled Tasks\*.*

Mehrere xml-Dateien mit allen Aufgaben aus der Windows-Aufgabenplanung, um Malware erkennen zu können, die die Aufgabenplanung ausnutzt. Da sich die Dateien in Unterordnern befinden, wird die gesamte Struktur erfasst.

WMI-Repository

Windows\WMI Repository\*.*

Mehrere Binärdateien mit WMI-Datenbankdaten (Meta-Informationen, Definition und statische Daten der WMI-Klassen). Diese Dateien sind hilfreich, um Malware zu identifizieren, die WMI für Persistenz verwendet (z. b. Turla). Da sich WMI-Dateien in Unterordnern befinden können, wird die gesamte Struktur erfasst.

Windows Server-Rollen und -Features

Windows\server_features.txt

Textdatei mit einer Baumstruktur aller Windows Server-Funktionen. Pro Funktion werden folgenden Informationen erfasst:

oInstallationsstatus

oLokalisierter Name

oCodename

oStatus (verfügbar ab Microsoft Windows Server 2012)

*Windows 7 und neuer

 

ESET Installationsprogramm

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

ESET Installations-Logs

ESET\Installer\*.log

Installations-Logs, die bei der Installation der Produkte ESET NOD32 Antivirus und ESET Smart Security 10 Premium erstellt wurden.

 

Die ESET Remote Administrator-Logs gelten auch für ESET Security Management Center.

ESET Security Management Center (ESMC) und ESET Remote Administrator (ERA)

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

ESMC/ERA-Server-Logs

ERA\Server\Logs\RemoteAdministratorServerDiagnostic<datetime>.zip

Server-Produkt-Logs im ZIP-Archiv. Enthält Trace- und Status-Logs sowie die jeweils letzten Fehler.

ESMC/ERA Agent-Logs

ERA\Agent\Logs\RemoteAdministratorAgentDiagnostic<datetime>.zip

Agent-Produkt-Logs im ZIP-Archiv. Enthält Trace- und Status-Logs sowie die jeweils letzten Fehler.

ESMC/ERA-Prozessinformationen und Abbilder*

ERA\Server\Process and old dump\RemoteAdministratorServerDiagnostic<datetime>.zip

Abbild(er) des Serverprozesses.

ESMC/ERA-Prozessinformationen und Abbilder*

ERA\Agent\Process and old dump\RemoteAdministratorAgentDiagnostic<datetime>.zip

Abbild(er) des Agent-Prozesses.

ESMC/ERA-Konfiguration

ERA\Server\Config\RemoteAdministratorServerDiagnostic<datetime>.zip

Informationsdateien zu Serverkonfiguration und Anwendungen im ZIP-Archiv.

ESMC/ERA-Konfiguration

ERA\Agent\Config\RemoteAdministratorAgentDiagnostic<datetime>.zip

Informationsdateien zu Agent-Konfiguration und Anwendungen im ZIP-Archiv.

ESMC/ERA Rogue Detection Sensor-Logs

ERA\RD Sensor\Rogue Detection SensorDiagnostic<datetime>.zip

Eine ZIP-Datei mit RD Sensor-Trace-Log, letzten Fehlern, Status-Log, Konfiguration, Abbild(ern) und allgemeinen Informationsdateien.

ESMC/ERA MDMCore-Logs

ERA\MDMCore\RemoteAdministratorMDMCoreDiagnostic<datetime>.zip

Eine ZIP-Datei mit MDMCore-Trace-Log, letzten Fehlern, Status-Log, Abbild(ern) und allgemeinen Informationsdateien.

ESMC/ERA Proxy-Logs

ERA\Proxy\RemoteAdministratorProxyDiagnostic<datetime>.zip

Eine ZIP-Datei mit ERA Proxy-Trace-Log, letzten Fehlern, Status-Log, Konfiguration, Abbild(ern) und allgemeinen Informationsdateien.

Datenbank für ESMC/ERA Agent

ERA\Agent\Database\data.db

Datenbankdatei für ESMC/ERA Agent.

Apache Tomcat-Konfiguration

ERA\Apache\Tomcat\conf\*.*

Apache Tomcat-Konfigurationsdateien enthalten eine Kopie der Datei server.xml ohne vertrauliche Informationen.

Apache Tomcat-Logs

ERA\Apache\Tomcat\logs\*.log

ERA\Apache\Tomcat\EraAppData\logs\*.log

ERA\Apache\Tomcat\EraAppData\WebConsole\*.log

Apache Tomcat-Logs im Textformat im Apache Tomcat-Installations- oder Anwendungsverzeichnis. Enthält außerdem die Logs der Web-Konsole.

Apache HTTP Proxy-Konfiguration

ERA\Apache\Proxy\conf\httpd.conf

Apache HTTP Proxy-Konfigurationsdatei.

Apache HTTP Proxy-Logs

ERA\Apache\Proxy\logs\*.log

Apache HTTP Proxy-Logs im Textformat.

*ESMC/ERA Server oder ESMC/ERA Agent

 

ESET-Konfiguration

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

ESET-Produktkonfiguration

info.xml

XML mit Informationen zu dem auf einem System installierten ESET-Produkt. Enthält grundlegende Systeminformationen, Informationen zum installierten Produkt und eine Liste der Produktmodule.

ESET-Produktkonfiguration

versions.csv

Seit Version 4.0.3.0 ist die Datei immer enthalten (ohne Abhängigkeiten). Sie enthält Informationen zu installierten Produkten. versions.csv muss im ESET AppData-Verzeichnis enthalten sein.

ESET-Produktkonfiguration

features_state.txt

Enthält Informationen zu ESET-Produktfeatures und deren Status (aktiv, inaktiv, nicht integriert). Diese Datei wird immer erfasst und ist nicht mit einem auswählbaren Artefakt verknüpft.

ESET-Produktkonfiguration

Configuration\product_conf.xml

XML mit exportierter Produktkonfiguration.

Dateiliste für ESET-Daten- und Installationsverzeichnis

ESET\Config\data_dir_list.txt

Textdatei mit einer Liste der Dateien im Verzeichnis ESET AppData und sämtlichen Unterverzeichnissen.

Dateiliste für ESET-Daten- und Installationsverzeichnis

ESET\Config\install_dir_list.txt

Textdatei mit einer Liste der Dateien im Verzeichnis ESET Install und sämtlichen Unterverzeichnissen.

ESET-Treiber

ESET\Config\drivers.txt

Informationen über installierte ESET-Treiber.

ESET Personal Firewall-Konfiguration

ESET\Config\EpfwUser.dat

Konfigurationsdatei für die ESET Personal Firewall.

Inhalt des ESET-Registrierungsschlüssels

ESET\Config\ESET.reg

Enthält den Inhalt des Registrierungsschlüssels von HKLM\SOFTWARE\ESET

Winsock LSP-Katalog

Config/WinsockLSP.txt

Ausgabe des Befehls „netsh winsock show catalog“.

Letzte angewendete Policy

ESET\Config\lastPolicy.dat

Die von ESMC/ERA angewendete Policy.

ESET-Komponenten

ESET\Config\msi_features.txt

Gesammelte Informationen über verfügbare MSI-Installationsprogrammkomponenten für ESET-Produkte.

HIPS-Konfiguration

ESET\Config\HipsRules.bin

Daten für HIPS-Regeln.

Konfiguration für sicheres Heimnetzwerk

ESET\Config\homenet.dat

Daten für das sichere Heimnetzwerk.

 

Quarantäne

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

Informationen über in Quarantäne verschobene Dateien

ESET\Quarantine\quar_info.txt

Textdatei mit einer Liste der Quarantäneobjekte.

Kleine Quarantäne-Dateien (< 250 KB)

ESET\Quarantine\*.*(< 250KB)

Dateien in der Quarantäne, die kleiner als 250 KB sind.

Große Quarantäne-Dateien (> 250 KB)

ESET\Quarantine\*.*(> 250KB)

Dateien in der Quarantäne, die größer als 250 KB sind.

 

ESET-Logs

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

ESET Ereignis-Log

ESET\Logs\Common\warnlog.dat

ESET Ereignis-Log im Binärformat.

ESET erkannte Bedrohungen-Log

ESET\Logs\Common\virlog.dat

ESET erkannte Bedrohungen-Log im Binärformat.

ESET Computerprüfungs-Logs

ESET\Logs\Common\eScan\*.dat

ESET Computerprüfungs-Logs im Binärformat.

ESET HIPS-Log*

ESET\Logs\Common\hipslog.dat

ESET HIPS-Log im Binärformat.

ESET Parental Control-Logs*

ESET\Logs\Common\parentallog.dat

ESET Parental Control-Log im Binärformat.

ESET Medienkontrolle-Log*

ESET\Logs\Common\devctrllog.dat

ESET Medienkontrolle-Log im Binärformat.

ESET Webcam-Schutz-Log*

ESET\Logs\Common\webcamlog.dat

ESET Webcam-Schutz-Log im Binärformat.

ESET On-Demand-Serverdatenbank-Scan-Logs

ESET\Logs\Common\ServerOnDemand\*.dat

ESET On-Demand-Serverdatenbank-Scan-Logs im Binärformat.

ESET Hyper-V-Serverprüfungs-Logs

ESET\Logs\Common\HyperVOnDemand\*.dat

ESET Hyper-V-Server-Scan-Logs im Binärformat.

MS OneDrive-Scan-Logs

ESET\Logs\Common\O365OnDemand\*.dat

MS OneDrive-Scan-Logs im Binärformat.

ESET-Log für gesperrte Dateien

ESET\Logs\Common\blocked.dat

ESET-Logs für gesperrte Dateien im Binärformat.

ESET-Log für gesendete Dateien

ESET\Logs\Common\sent.dat

ESET-Logs für gesendete Dateien im Binärformat.

ESET Audit-Log

ESET\Logs\Common\audit.dat

ESET-Audit-Logs im Binärformat.

*Option wird nur angezeigt, wenn die Datei existiert.

 

ESET-Netzwerk-Logs

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

ESET Netzwerk-Schutz-Log*

ESET\Logs\Net\epfwlog.dat

ESET Netzwerk-Schutz-Log im Binärformat.

ESET gefilterte Webseiten-Log*

ESET\Logs\Net\urllog.dat

ESET gefilterte Webseiten-Log im Binärformat.

ESET Web-Kontroll-Log*

ESET\Logs\Net\webctllog.dat

ESET Web-Kontroll-Log im Binärformat.

ESET pcap-Logs

ESET\Logs\Net\EsetProxy*.pcapng

ESET pcap-Logs.

*Option wird nur angezeigt, wenn die Datei existiert.

 

ESET-Diagnose-Logs

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

Lokale Cache-Datenbank

ESET\Diagnostics\local.db

ESET-Datenbank mit geprüften Dateien.

Allgemeine Produktdiagnose-Protokolle

ESET\Diagnostics\*.*

Dateien (Mini-Abbildes) aus dem ESET-Diagnoseordner.

ECP-Diagnose-Logs

ESET\Diagnostics\ECP\*.xml

Die Diagnose-Logs des ESET-Kommunikationsprotokolls werden für den Fall generiert, dass bei der Produktaktivierung und der Kommunikation mit den Aktivierungsservern Probleme auftreten.

 

ESET Secure Authentication

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

ESA-Logs

ESA\*.log

Exportierte Logs aus ESET Secure Authentication.

 

ESET Enterprise Inspector

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

EEI Server-Logs

EEI\Server\Logs\*.log

Server-Produktlogs im Textformat.

EEI Agent-Logs

EEI\Agent\Logs\*.log

Agent-Produktlogs im Textformat.

EEI Server-Konfiguration

EEI\Server\eiserver.ini

Eine .ini-Datei mit der Server-Produktkonfiguration.

EEI Agent-Konfiguration

EEI\Agent\eiagent.ini

Eine .ini-Datei mit der Agent-Produktkonfiguration.

EEI Server-Policy

EEI\Server\eiserver.policy.ini

Eine .ini-Datei mit der Server-Produkt-Policy.

EEI Agent-Policy

EEI\Agent\eiagent.policy.ini

Eine .ini-Datei mit der Agent-Produkt-Policy.

EEI Server-Zertifikate

EEI\Server\Certificates\*.*

Enthält die vom Serverprodukt verwendeten Zertifizierungsdateien. Da sich die Dateien in Unterordnern befinden, wird die gesamte Struktur erfasst.

EEI Agent-Zertifikate

EEI\Agent\Certificates\*.*

Enthält die vom Agent-Produkt verwendeten Zertifizierungsdateien. Da sich die Dateien in Unterordnern befinden, wird die gesamte Struktur erfasst.

EEI Server-Sicherungskopien

EEI\Server\Diagnostics\*.*

Abbilddateien für das Serverprodukt.

MySQL-Serverkonfiguration

EEI\My SQL\my.ini

Eine .ini-Datei mit der MySQL-Serverkonfiguration für das EEI-Serverprodukt.

MySQL-Server-Logs

EEI\My SQL\EEI.err

Ein Fehler-Log im Textformat für den MySQL-Server, den das EEI-Serverprodukt verwendet.

 

ESET Full Disk Encryption

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

EFDE-Logs

EFDE\AIS\Logs\*.*
EFDE\Core\*.log

Exportierte Logs (AIS und Core) aus ESET Full Disk Encryption.

EFDE-Lizenzdaten

EFDE\AIS\Licesne\*.*

Dateien mit Lizenzdaten für EFDE.

EFDE-Konfiguration

EFDE\AIS\lastpolicy.dat

Enthält die Konfiguration von EFDE.

 

ESET-E-Mail-Logs (ESET Mail Security for Exchange, ESET Mail Security for Domino)

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

ESET Spam-Log

ESET\Logs\Email\spamlog.dat

ESET Spam-Log im Binärformat.

ESET Greylist-Log

ESET\Logs\Email\greylistlog.dat

ESET Greylist-Log im Binärformat.

ESET SMTP-Schutz-Log

ESET\Logs\Email\smtpprot.dat

ESET SMTP Schutz-Log im Binärformat.

ESET E-Mail-Server-Schutz-Log

ESET\Logs\Email\mailserver.dat

ESET E-Mail-Server-Schutz-Log im Binärformat.

ESET Diagnose E-Mail-Verarbeitungs-Logs

ESET\Logs\Email\MailServer\*.dat

ESET Diagnose E-Mail-Verarbeitungs-Logs im Binärformat, direkte Kopie vom Datenträger.

ESET Spam-Log*

ESET\Logs\Email\spamlog.dat

ESET Spam-Log im Binärformat.

ESET Antispam-Konfiguration und Diagnose-Logs

ESET\Logs\Email\Antispam\antispam.*.log

ESET\Config\Antispam\*.*

Kopie der ESET Antispam-Konfiguration und Diagnose-Logs.

*Option wird nur angezeigt, wenn die Datei existiert.

 

ESET Sharepoint-Logs (ESET Security for SharePoint)

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

ESET SHPIO.log

ESET\Log\ESHP\SHPIO.log

ESET-Diagnose-Log aus dem Hilfsprogramm SHPIO.exe.

 

Produktspezifische Logs - Optionen für spezielle Produkte sind verfügbar.

Domino (ESET Mail Security for Domino)

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

Domino IBM_TECHNICAL_SUPPORT-Logs + notes.ini

LotusDomino\Log\notes.ini

IBM Domino-Konfigurationsdatei.

Domino IBM_TECHNICAL_SUPPORT-Logs + notes.ini

LotusDomino\Log\IBM_TECHNICAL_SUPPORT\*.*

IBM Domino-Logs, nicht älter als 30 Tage.

 

MS SharePoint (ESET Security for SharePoint)

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

MS SharePoint-Logs

SharePoint\Logs\*.log

MS SharePoint-Logs, nicht älter als 30 Tage.

Inhalt des SharePoint-Registrierungsschlüssels

SharePoint\WebServerExt.reg

Inhalt des Registrierungsschlüssels HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions. Nur verfügbar, wenn ESET Security for SharePoint installiert ist.

 

MS Exchange (ESET Mail Security for Exchange)

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

Registrierung von MS Exchange Transport-Agenten

Exchange\agents.config

Konfigurationsdatei für die Registrierung von MS Exchange Transport-Agenten. Für Microsoft Exchange Server 2007 und neuere Versionen.

Registrierung von MS Exchange Transport-Agenten

Exchange\sinks_list.txt

Registrierungsabbild für MS Exchange-Ereignissenken. Für Microsoft Exchange Server 2000 und 2003.

MS Exchange EWS-Logs

Exchange\EWS\*.log

EWS Exchange Server-Logs.

 

Kerio Connect (ESET Security for Kerio)

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

Kerio Connect-Konfiguration

Kerio\Connect\mailserver.cfg

Kerio Connect-Konfigurationsdatei.

Kerio Connect-Logs

Kerio\Connect\Logs\{mail,error,security,debug,warning}.log

Ausgewählte Kerio Connect-Log-Dateien.

 

Kerio Control (ESET Security for Kerio)

Artefaktname

Sammlungsprofil

Speicherort / Dateiname

Beschreibung

Standard

Bedrohungserkennung

Kerio Control-Konfiguration

Kerio\Connect\winroute.cfg

Kerio Control-Konfigurationsdatei.

Kerio Control-Logs

Kerio\Connect\Logs\{alert,error,security,debug,warning}.log

Ausgewählte Kerio Control-Log-Dateien.