CollectAllLogs

Целью CollectAllLogs является быстрый и простой сбор очень обширного списка журналов, настроек реестра и множества других диагностических данных с одного устройства или группы устройств. Сценарий CollectAllLogs предназначен для отправки клиентам с помощью функции запуска сценариев Microsoft Endpoint Configuration Manager (MECM/SCCM/ConfigMgr). CollectAllLogs также работает с клиентами, которые удаленно подключены через шлюз управления облаком (CMG) (только с PKI. Расширенный HTTP пока не поддерживается, поскольку клиент будет собирать, но не загружать). После того как сценарий CollectAllLogs будет отправлен клиенту с помощью функции «Выполнить сценарии», клиент соберет, сожмет и загрузит сжатый ZIP-файл (с использованием BITS) в назначенную клиенту в данный момент точку управления. Наконец, будет отправлено сообщение о состоянии, которое активирует правило фильтра состояния на сервере сайта, которое перемещает сжатый ZIP-файл из точки управления по настраиваемому локальному пути или общей папке UNC по выбору.

Примечание. Этот сценарий еще не был тщательно протестирован в иерархии (с CAS). Если у вас есть CAS, вам нужно будет отредактировать строку 73 файла MoveLogToPrimary.ps1, чтобы указать, где вы хотите хранить журналы. Оставьте отзыв, если вы тестируете решение в иерархии.

Журналы, настройки реестра и диагностические данные, которые в настоящее время можно собирать, следующие:

¹ Известно, что повреждение REGISTRY.POL приводит к сбою объектов групповой политики и обновлений программного обеспечения на неопределенный срок, пока не будет устранено. Повреждение Registry.POL обычно вызвано исключениями антивируса, а не его исключением.

² Дополнительные сведения см. в разделе Сбор диагностических данных антивируса Microsoft Defender.

Сначала начните с просмотра строк 24–37 в CollectAllLogs , чтобы определить, есть ли какие-либо журналы, которые вам не нужны. Если да, установите для них значение «Нет», чтобы сбор данных не происходил. В противном случае по умолчанию все имеет значение «Да», за исключением исключений Symantec Antivirus.

1. Скопируйте файл Microsoft.ConfigurationManagement.Messaging.dll из < каталога установки ConfigMgr AdminConsolebin в < каталог установки ConfigMgr >CCMIncomingMessagingDll на каждой точке управления. CCMIncoming уже должен существовать на каждом MP, но необходимо создать каталог MessagingDll.

2. В библиотеке программного обеспечения создайте новый сценарий запуска, используя содержимое сценария CollectAllLogs , и подтвердите его. Если вы не можете утвердить свой собственный сценарий, в настройках иерархии есть флажок, позволяющий вам это сделать. ИЗМЕНЕНИЕ ЭТОЙ КОНФИГУРАЦИИ ДОЛЖНО БЫТЬ БИЗНЕС-РЕШЕНИЕМ . Рекомендуется утверждать собственные сценарии только в том случае, если вы заядлый перфекционист или у вас есть настоящая лаборатория.

3. Поместите сценарий MoveLogtoPrimary.ps1 на сервер основного сайта в выбранный каталог, который в дальнейшем будет называться < ScriptsDir >.

4. Создайте каталог для журналов — в дальнейшем он будет называться < CollectAllLogs Dir >. < Каталог CollectAllLogs > может быть локальным путем на сервере сайта или UNC-путем на удаленном сервере. Единственное требование — учетная запись компьютера сервера сайта должна иметь права на создание этой целевой общей папки.

5. В консоли администратора ConfigMgr перейдите в «Администрирование», «Сайты», «Выберите сайт», нажмите «Правила фильтра состояния» и «Создать».

6. На вкладке Общие создайте правило фильтра статуса с идентификатором сообщения 1234 .

7. На вкладке Действия установите флажок Запустить программу .

8. Введите следующую командную строку в поле «Программа» и нажмите «ОК» .

C:WindowsSystem32WindowsPowerShellv1.0powershell.exe -ExecutionPolicy Bypass -File "< ScriptsDir >MoveLogtoPrimary.ps1" -InsString1 %msgis01 -InsString2 %msgis02 -LogFolder < CollectAllLogs Dir>

9. Щелкните правой кнопкой мыши одно устройство или группу устройств в консоли MECM. В библиотеке программного обеспечения нажмите «Выполнить сценарий» .

10. Выберите сценарий «Собрать все журналы», созданный на шаге 2, и дважды нажмите «Далее» .

11. Примерно через 5 минут проверьте путь, используемый для < CollectAllLogs Dir >, на наличие ZIP-файла, содержащего все запрошенные файлы, журналы событий, экспорт реестра и системную информацию, который будет называться < ComputerNameMM-DD-YYYYHHMMS>.zip . В моей лаборатории размер этих zip-файлов варьируется от 12 МБ до 60 МБ в зависимости от собранных данных, настроек хранения истории и настроек журнала событий. Рекомендуется протестировать это на небольших коллекциях (<10 клиентов), чтобы определить, какие последствия заметят конечные пользователи и сетевые администраторы (если таковые имеются).

Если у вас есть какие-либо дополнительные идеи по сбору журналов или другой диагностической информации, пожалуйста, не стесняйтесь внести свой вклад в эту замечательную утилиту.

Сценарий CollectAllLogs был разработан инженерами по работе с клиентами Microsoft Рассом Риммерманом и Дэвидом Андерсоном. CollectAllLogs не существовал бы без оригинальной идеи и полнофункционального стартового сценария, предоставленного блестящим и бесстрашным гуру MECM Дэвидом Андерсоном, PFE/CE. Мастерство Дэвида в написании сценариев Powershell облегчило полную установку и начальную основу этой утилиты.

MPDetection*.log показывает обновления версий продукта, ядра, службы и определений, а также время обновления. MSSupportFiles.cab содержит значительное количество файлов для углубленного анализа работоспособности и активности Защитника Windows.