Přeskočit na hlavní obsah
  • Vkládejte objednávky snadno a rychle
  • Zobrazit objednávky a sledovat stav expedice
  • Vytvořte a přistupujte k seznamu svých produktů

Як збирати журнали датчиків CrowdStrike Falcon

Shrnutí: Дізнайтеся, як збирати логи CrowdStrike Falcon Sensor для усунення несправностей. Покрокові інструкції доступні для Windows, Mac і Linux.

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.

Příznaky

У цій статті розглядаються методи збору логів для CrowdStrike Falcon Sensor.


Продукти, на які впливають:

  • Датчик CrowdStrike Falcon

Операційні системи, яких це стосується:

  • Вікна
  • Комп'ютер Mac
  • Лінукс

Příčina

Не застосовується

Řešení

Настійно рекомендується збирати журнали, перш ніж усувати неполадки CrowdStrike Falcon Sensor або звертатися до служби підтримки Dell.

Примітка: Для отримання додаткової інформації про звернення до служби підтримки Dell зверніться до номерів телефонів міжнародної служби підтримки Dell Data Security.

Виберіть пункт Windows, Mac або Linux , щоб переглянути відповідну інформацію для журналювання.

Користувач може усунути неполадки CrowdStrike Falcon Sensor у Windows, вручну зібравши журнали для:

  • Журнали MSI : Використовується для усунення проблем зі встановленням.
  • Журнали продукції : Використовується для усунення проблем з активацією, зв'язком і поведінкою.

Виберіть відповідний тип журналу, щоб дізнатися більше.

MSI

  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Виконати інтерфейс користувача (UI) введіть одну з таких команд:
    • Якщо встановлено користувачем: %LOCALAPPDATA%\Temp і натисніть кнопку ОК.
    • Якщо встановлено за допомогою автоматичного оновлення: %SYSTEMROOT%\Temp і натисніть кнопку ОК.

Запустити інтерфейс користувача

  1. Зберіть:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

На зображенні зображені приклади файлів журналу.

Примітка:
  • [TIMESTAMP] = Дата і час встановлення
  • [BIT] = Представляє або Agent32, або Agent64

Продукт

Рекомендується Увімкнути детальність, а потім відтворити проблему перед записом журналів продуктів . Після того, як проблему буде вирішено, рекомендується вимкнути детальність. Натисніть відповідну процедуру, щоб дізнатися більше.

Вмикати
Попередження:
  • Dell Technologies рекомендує вмикати детальність лише під час усунення неполадок.
  • Dell Technologies рекомендує вимкнути детальність після вирішення проблеми.
  • Кінцеві точки можуть знижувати продуктивність, коли ввімкнено детальність.
  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Запустити інтерфейс користувача (UI) введіть regedit і натисніть сполучення клавіш CTRL+SHIFT+ENTER, щоб запустити редактор реєстру від імені адміністратора.

Запустити інтерфейс користувача

  1. Якщо службу захисту користувачів (UAC) увімкнуто, натисніть кнопку Так. В іншому випадку перейдіть до кроку 5.

Запит служби захисту користувачів

  1. Іти до [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Реєстру

  1. Подвійне клацання AFLAGS.

AFLAGS у реєстрі

  1. Натисніть Delete, введіть 03, а потім натисніть кнопку ОК.

Редагувати екран двійкових значень

  1. Натисніть кнопку Файл, а потім виберіть Вийти.

Вихід з редактора реєстру

Примітка: Увімкнувши ведення журналу, відтворіть проблему.
Захоплення
  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Запустити інтерфейс користувача (UI) введіть eventvwr і натисніть кнопку ОК.

Запустити інтерфейс користувача

  1. У вікні «Перегляд подій» розгорніть розділ «Журнали Windows » і виберіть пункт «Система».

Журнали Windows і система

  1. Клацніть правою кнопкою миші системний журнал і виберіть команду Фільтрувати поточний журнал.

Фільтрувати поточний журнал

  1. Встановіть для параметра Джерело значення CSAgent.

Встановлення джерела події на CSAgent

  1. Клацніть правою кнопкою миші системний журнал і виберіть пункт Зберегти відфільтрований файл журналу як.

Збережіть відфільтрований файл журналу як

  1. Змініть ім'я файлу на CrowdStrike_[WORKSTATIONNAME].evtx , а потім натисніть кнопку Зберегти.

Зміна імені файлу та збереження

Примітка: Dell Technologies рекомендує вказувати [WORKSTATIONNAME] у випадку, якщо проблема виникає на кількох кінцевих точках.
Вимкнути
  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Запустити інтерфейс користувача (UI) введіть regedit і натисніть сполучення клавіш CTRL+SHIFT+ENTER, щоб запустити редактор реєстру від імені адміністратора.

Запустити інтерфейс користувача

  1. Якщо службу захисту користувачів (UAC) увімкнуто, натисніть кнопку Так. В іншому випадку перейдіть до кроку 5.

Запит служби захисту користувачів

  1. Іти до [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Реєстру

  1. Натисніть Delete, введіть 0, а потім натисніть кнопку ОК.

Редагувати двійкове значення

  1. Натисніть кнопку Файл, а потім виберіть Вийти.

Вихід з реєстру

Користувач може усунути неполадки CrowdStrike Falcon Sensor на Mac, зібравши:

Клацніть відповідний тип журналу, щоб отримати додаткові відомості.

Інсталювати

CrowdStrike Falcon Sensor використовує вбудовану інсталяцію.log для документування інформації про встановлення.

  1. У меню Apple натисніть «Перейти», а потім виберіть «Перейти до папки».

Перейти до папки

  1. Тип /var/log , а потім натисніть кнопку Перейти.

Перейдіть до інтерфейсу папки

  1. Копіювати Install.log до легкодоступного місця для подальшого дослідження.

встановити.log

Примітка: Dell Technologies рекомендує шукати "CrowdStrike", щоб переконатися, що інформація релевантна CrowdStrike.

Продукт

Рекомендується Увімкнути детальність, а потім відтворити проблему перед записом журналів продуктів . Після того, як проблему буде вирішено, рекомендується вимкнути детальність. Натисніть відповідну процедуру, щоб дізнатися більше.

Вмикати
Попередження:
  • Dell Technologies рекомендує вмикати детальність лише під час усунення неполадок.
  • Dell Technologies рекомендує вимкнути детальність після вирішення проблеми.
  • Кінцеві точки можуть знижувати продуктивність, коли ввімкнено детальність.
  1. Увійдіть до відповідної кінцевої точки.
  2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

Утиліти

  1. Двічі клацніть пункт Термінал.

Термінал

  1. У Терміналі введіть sudo sysctl cs.feature=3 , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Підтвердити cs.feature=3.

Інтерфейс терміналу

Примітка: Увімкнувши ведення журналу, відтворіть проблему.
Захоплення
  1. Увійдіть до відповідної кінцевої точки.
  2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

Утиліти

  1. Двічі клацніть пункт Термінал.

Термінал

  1. У Терміналі введіть sudo /Library/CS/falconctl diagnose , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Через кілька хвилин, falconctl_diagnose.tgz буде згенеровано в /private/tmp.
Вимкнути
  1. Увійдіть до відповідної кінцевої точки.
  2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

Утиліти

  1. Двічі клацніть пункт Термінал.

Термінал

  1. У Терміналі введіть sudo sysctl cs.feature=0 , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Підтвердити cs.feature=0.

Інтерфейс терміналу

  1. Увійдіть до відповідної кінцевої точки.
  2. Відкрийте термінал Linux.

Термінал

Примітка: Компонування інтерфейсу користувача (UI) може відрізнятися у різних дистрибутивах Linux.
  1. У Терміналі введіть su root , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Тип sudo mkdir /tmp/CrowdStrike , а потім натисніть клавішу Enter.

Каталог створення терміналів

Примітка: Приклад /tmp/CrowdStrike каталог може бути змінений у вашому середовищі.
  1. Тип sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt , а потім натисніть клавішу Enter.
  2. Тип sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt , а потім натисніть клавішу Enter.
  3. Тип sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt , а потім натисніть клавішу Enter.
  4. Тип sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt , а потім натисніть клавішу Enter.

Інтерфейс терміналу

Примітка: Дистрибутиви Linux можуть мати не всі каталоги зі списку.
  1. Захоплюйте всі вихідні файли всередині /tmp/CrowdStrike (Крок 5) за допомогою SSH.

Вихід захоплення терміналу

Примітка:
  • Типово, SSH вимкнено у дистрибутивах Linux.
  • Після ввімкнення SSH для підключення до кінцевої точки Linux можна використовувати стороннє програмне забезпечення (наприклад, PuTTY).

Щоб зв'язатися зі службою підтримки, зверніться за номерами телефонів міжнародної служби підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову інформацію та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.

Dotčené produkty

CrowdStrike
Vlastnosti článku
Číslo článku: 000178209
Typ článku: Solution
Poslední úprava: 01 Feb 2024
Verze:  17
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.