Сбор логов модуля EDR

Обзор

Логи модуля EDR Windows:

• Это файлы с диагностической информацией для расследования инцидентов.

  На конечной точке пользователя они собираются в усеченном виде для экономии места на диске.

• Хранятся в папке C:\ProgramData\BI.Zone\Sensors\EDR\log\.

  Размер логов может быть большим, поэтому эту папку рекомендуется упаковывать в архив.

При удалении модуля его логи также удаляются, но некоторое время хранятся в папке %TEMP%\BI.ZONE\EDR (по умолчанию переменная %TEMP% разворачивается в C:\WINDOWS\Temp). В случае сбора логов после удаления модуля или его переустановки, то требуется в архив добавлять также и данные по этому пути (как правило C:\WINDOWS\Temp\BI.ZONE\EDR).

Собрать логи EDR (Windows) можно как на конечной точке, так и через веб-интерфейс.

Решаемые проблемы

Сбор логов модуля EDR помогает устранить неполадки:

• Задача EDR завершается с ошибкой.

• Система перешла в BSOD.

• Общее замедление конечной точки.

• Процесс bzsenedrcore потребляет много CPU.

• Процесс bzsenedrcore потребляет много памяти.

• Программа XXX работает медленно.

• Программа XXX не работает совсем или частично.

• Компонент самозащиты некорректно работает.

Сбор на конечной точке

1. Соберите данные из папки C:\ProgramData\BI.Zone\Sensors\EDR\log\.

   Примечание: при удалении или переустановке модуля также соберите данные из папки C:\WINDOWS\Temp\BI.ZONE\EDR.

2. Архивируйте данные.

3. Передайте архив сотрудникам BI.ZONE.

Сбор через веб-интерфейс

1. Создайте задачу File Grabber: File/folder download.

   В качестве пути укажите C:\ProgramData\BI.Zone\Sensors\EDR\log\.

   При удалении или переустановке модуля также соберите данные из папки C:\WINDOWS\Temp\BI.ZONE\EDR

2. Запустите задачу и дождитесь ее завершения.

3. Передайте архив сотрудникам BI.ZONE.