Přeskočit na hlavní obsah
  • Vkládejte objednávky snadno a rychle
  • Zobrazit objednávky a sledovat stav expedice
  • Vytvořte a přistupujte k seznamu svých produktů

CrowdStrike Falcon Sensor Günlüklerini Toplama

Shrnutí: Sorun giderme için CrowdStrike Falcon Sensor günlüklerini nasıl alacağınızı öğrenin. Adım adım kılavuzlar Windows, Mac ve Linux için mevcuttur.

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.

Příznaky

Bu makalede, CrowdStrike Falcon Sensor için günlük toplama yöntemleri açıklanmaktadır.


Etkilenen Ürünler:

  • CrowdStrike Falcon Sensor

Etkilenen İşletim Sistemleri:

  • Windows
  • Mac
  • Linux

Příčina

Geçerli değil

Řešení

CrowdStrike Falcon Sensor ile sorun gidermeden veya Dell destek ile iletişime geçmeden önce günlükleri toplamanız önemle tavsiye edilir.

Not: Dell Support ile iletişime geçme hakkında daha fazla bilgi için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.

İlgili günlük bilgileri için Windows, Mac veya Linux'a tıklayın.

Kullanıcı, şunlar için günlükleri manuel olarak toplayarak Windows'da CrowdStrike Falcon Sensor sorunlarını giderebilir:

  • MSI günlükleri: Yükleme sorunlarını gidermek için kullanılır.
  • Ürün günlükleri: Etkinleştirme, iletişim ve davranış sorunlarını gidermek için kullanılır.

Daha fazla bilgi için uygun günlüğe kayıt tipini seçin.

MSI

  1. Etkilenen uç noktada oturum açın.
  2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

Çalıştırma

  1. Çalıştır kullanıcı arayüzüne (UI) aşağıdakilerden birini yazın:
    • Kullanıcı tarafından yüklendiyse: %LOCALAPPDATA%\Temp ve ardından Tamam'ı tıklatın.
    • Otomatik güncelleştirme ile yüklendiyse: %SYSTEMROOT%\Temp ve ardından Tamam'ı tıklatın.

Çalıştır Kullanıcı Arayüzü

  1. Toplamak:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Görüntüde, örnek günlük dosyaları gösterilmektedir.

Not:
  • [TIMESTAMP] = Kurulum tarihi ve saati
  • [BIT] = Agent32 veya Agent64'ü temsil eder

Ürün

Ayrıntı düzeyinin etkinleştirilmesi ve ardından ürün günlüklerinin yakalanmasından önce sorunun yeniden oluşturulması önerilir. Sorun çözüldükten sonra ayrıntı düzeyini devre dışı bırakmanız önerilir. Daha fazla bilgi için uygun işleme tıklayın.

Etkinleştirme
Uyarı:
  • Dell Technologies, ayrıntı düzeyinin yalnızca bir sorunu giderirken etkinleştirilmesini önerir.
  • Dell Technologies, sorun çözüldükten sonra ayrıntı düzeyinin devre dışı bırakılmasını önerir.
  • Ayrıntı düzeyi etkinleştirildiğinde uç noktaların performansı azalabilir.
  1. Etkilenen uç noktada oturum açın.
  2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

Çalıştırma

  1. Run user interface (UI) alanına şunu yazın: regedit ve ardından Kayıt Defteri Düzenleyicisi'ni yönetici olarak çalıştırmak için CTRL+SHIFT+ENTER tuşlarına basın.

Çalıştır Kullanıcı Arayüzü

  1. Kullanıcı Hesabı Denetimi (UAC) etkinse Evet öğesine tıklayın. Aksi durumda 5. Adıma gidin.

Kullanıcı Hesabı Denetimi istemi

  1. Git [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Kayıt defteri

  1. Çift tıklatın AFLAGS.

Kayıt defterindeki AFLAG'ler

  1. Delete tuşuna basın, yazın 03tıklatın ve sonra Tamam'ı tıklatın.

İkili Değeri Düzenle ekran

  1. Önce Dosya öğesine, ardından Çıkış öğesine tıklayın.

Kayıt Defteri Düzenleyicisi'nden Çıkma

Not: Günlüğe kaydetme etkinleştirildikten sonra sorunun yeniden oluşmasını sağlayın.
Kaydetme
  1. Etkilenen uç noktada oturum açın.
  2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

Çalıştırma

  1. Run user interface (UI) alanına şunu yazın: eventvwr ve ardından Tamam'ı tıklatın.

Çalıştır Kullanıcı Arayüzü

  1. Olay Görüntüleyicisi'nde Windows Günlükleri'ni genişletin ve Sistem öğesine tıklayın.

Windows Günlükleri ve Sistemi

  1. Sistem günlüğüne sağ tıklayın ve Geçerli Günlüğü Filtrele öğesini seçin.

Geçerli Günlüğü Filtrele

  1. Kaynağı şu şekilde ayarlayın: CSAgent.

Olay Kaynağını CSAgent olarak Ayarlama

  1. Sistem günlüğüne sağ tıklayın ve Save Filtered Log File As (Filtre Uygulanmış Günlük Dosyasını Farklı Kaydet) öğesini seçin.

Filtrelenmiş Günlük Dosyasını Farklı Kaydet

  1. Dosya Adını şu şekilde değiştirin: CrowdStrike_[WORKSTATIONNAME].evtx ve ardından Save öğesine tıklayın.

Dosya adını değiştirme ve kaydetme

Not: Dell Technologies şunları belirtmenizi önerir: [WORKSTATIONNAME] Sorunun birden fazla uç noktada gerçekleşmesi durumunda.
Devre Dışı Bırakma
  1. Etkilenen uç noktada oturum açın.
  2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

Çalıştırma

  1. Run user interface (UI) alanına şunu yazın: regedit ve ardından Kayıt Defteri Düzenleyicisi'ni yönetici olarak çalıştırmak için CTRL+SHIFT+ENTER tuşlarına basın.

Çalıştır Kullanıcı Arayüzü

  1. Kullanıcı Hesabı Denetimi (UAC) etkinse Evet öğesine tıklayın. Aksi durumda 5. Adıma gidin.

Kullanıcı Hesabı Denetimi istemi

  1. Şu adrese gidin: [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Kayıt defteri

  1. Delete tuşuna basın, yazın 0tıklatın ve sonra Tamam'ı tıklatın.

İkili Değeri Düzenle

  1. Önce Dosya öğesine, ardından Çıkış öğesine tıklayın.

Kayıt defterinden çıkma

Kullanıcı, aşağıdakileri toplayarak Mac'te CrowdStrike Falcon Sensor sorunlarını giderebilir:

  • Yükleme günlükleri: Yükleme sorunlarını gidermek için kullanılır.
  • Ürün günlükleri: Etkinleştirme, iletişim ve davranış sorunlarını gidermek için kullanılır.

Daha fazla bilgi için uygun günlük tipini seçin.

Yükle

CrowdStrike Falcon Sensor, yerel install.log dosyasına kurulum bilgilerini kaydeder.

  1. Apple menüsünden, Git'e tıklayın ve Klasöre Git öğesini seçin.

Klasöre Gidin

  1. Şunu yazın: /var/log ve ardından Git'e tıklayın.

Klasör Kullanıcı Arayüzüne gidin

  1. Kopyalar Install.log daha fazla araştırma için hazır bir yere.

install.log

Not: Dell Technologies, bilgilerin CrowdStrike ile ilgili olduğundan emin olmak için "CrowdStrike" öğesinin aranmasını önerir.

Ürün

Ayrıntı düzeyinin etkinleştirilmesi ve ardından ürün günlüklerinin yakalanmasından önce sorunun yeniden oluşturulması önerilir. Sorun çözüldükten sonra ayrıntı düzeyini devre dışı bırakmanız önerilir. Daha fazla bilgi için uygun işleme tıklayın.

Etkinleştirme
Uyarı:
  • Dell Technologies, ayrıntı düzeyinin yalnızca bir sorunu giderirken etkinleştirilmesini önerir.
  • Dell Technologies, sorun çözüldükten sonra ayrıntı düzeyinin devre dışı bırakılmasını önerir.
  • Ayrıntı düzeyi etkinleştirildiğinde uç noktaların performansı azalabilir.
  1. Etkilenen uç noktada oturum açın.
  2. Apple menüsünde Git öğesine tıklayın ve İzlenceler öğesini seçin.

Utilities (İzlenceler)

  1. Terminal'e çift tıklayın.

Terminal

  1. Terminal'e şunu yazın: sudo sysctl cs.feature=3 ve Enter tuşuna basın.
  2. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

Terminal sudo parolasını dolduruyor

  1. Confirm (Onayla) cs.feature=3.

Terminal Kullanıcı Arayüzü

Not: Günlüğe kaydetme etkinleştirildikten sonra sorunun yeniden oluşmasını sağlayın.
Kaydetme
  1. Etkilenen uç noktada oturum açın.
  2. Apple menüsünde Git öğesine tıklayın ve İzlenceler öğesini seçin.

Utilities (İzlenceler)

  1. Terminal'e çift tıklayın.

Terminal

  1. Terminal'e şunu yazın: sudo /Library/CS/falconctl diagnose ve Enter tuşuna basın.
  2. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

Sudo parolasını giren terminal

  1. Birkaç dakika sonra, falconctl_diagnose.tgz Şurada oluşturulacaktır: /private/tmp.
Devre Dışı Bırakma
  1. Etkilenen uç noktada oturum açın.
  2. Apple menüsünde Git öğesine tıklayın ve İzlenceler öğesini seçin.

Utilities (İzlenceler)

  1. Terminal'e çift tıklayın.

Terminal

  1. Terminal'e şunu yazın: sudo sysctl cs.feature=0 ve Enter tuşuna basın.
  2. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

Sudo parolasını giren terminal

  1. Confirm (Onayla) cs.feature=0.

Terminal Kullanıcı Arayüzü

  1. Etkilenen uç noktada oturum açın.
  2. Linux Terminali açın.

Terminal

Not: Kullanıcı arabirimi (UI) düzeni Linux dağıtımları arasında farklılık gösterebilir.
  1. Terminal'e şunu yazın: su root ve Enter tuşuna basın.
  2. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

Terminal sudo parolasını dolduruyor

  1. Şunu yazın: sudo mkdir /tmp/CrowdStrike ve Enter tuşuna basın.

Terminal oluşturma dizini

Not: Örnek /tmp/CrowdStrike dizini ortamınızda değiştirilebilir.
  1. Şunu yazın: sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt ve Enter tuşuna basın.
  2. Şunu yazın: sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt ve Enter tuşuna basın.
  3. Şunu yazın: sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt ve Enter tuşuna basın.
  4. Şunu yazın: sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt ve Enter tuşuna basın.

Terminal Kullanıcı Arayüzü

Not: Linux dağıtımları, listelenen dizinlerin tümünü içermeyebilir.
  1. İçindeki tüm çıktı dosyalarını yakalayın /tmp/CrowdStrike (Adım 5) SSH kullanarak.

Terminal yakalama çıktısı

Not:
  • SSH, Linux dağıtımlarında varsayılan olarak devre dışı bırakılmıştır.
  • SSH etkinleştirildiğinde, Linux uç noktasına bağlanmak için üçüncü parti yazılımı (ör. PuTTY) kullanılabilir.

Destek ile iletişime geçmek için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.
Çevrimiçi olarak teknik destek talebi oluşturmak için TechDirect adresine gidin.
Daha fazla faydalı bilgi ve kaynak için Dell Security Topluluk Forumu'na katılın.

Další informace

 

Videa

 

Dotčené produkty

CrowdStrike
Vlastnosti článku
Číslo článku: 000178209
Typ článku: Solution
Poslední úprava: 01 Feb 2024
Verze:  17
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.