如何收集CrowdStrike Falcon Sensor日志

用户可以通过手动收集以下方面的日志，对 Windows 上的 CrowdStrike Falcon Sensor 进行故障处理：

• MSI 日志：用于对安装问题进行故障处理。
• 产品 日志：用于对激活、通信和行为问题进行故障处理。

单击相应的日志记录类型以了解更多信息。

MSI

1. 登录 受影响的端点。
2. 右键单击Windows开始菜单，然后选择Run（运行）。

3. 在“运行”用户界面 (UI) 中，键入以下任一内容：
   • 如果由用户安装： %LOCALAPPDATA%\Temp ，然后单击 “确定”。
   • 如果通过自动更新安装： %SYSTEMROOT%\Temp ，然后单击 “确定”。

4. 收集：
   • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
   • CrowdStrike Window Sensor_[TIMESTAMP].log

产品

建议 启用 详细模式，然后在 捕获 产品日志之前重现问题。解决问题后，建议 禁用 详细模式。单击相应的过程以了解更多信息。

启用

1. 登录 受影响的端点。
2. 右键单击Windows开始菜单，然后选择Run（运行）。

3. 在“运行”用户界面 （UI） 中，键入 regedit ，然后按 CTRL+SHIFT+ENTER 以管理员身份运行 Registry Editor。

4. 如果启用了用户帐户控制 (UAC)，则单击 Yes。否则，请转至步骤 5。

5. 转到(G) [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]。

6. 双击 AFLAGS。

7. 按 Delete 键，键入 03，然后单击 “确定”。

8. 单击文件，然后选择退出。

捕获

1. 登录 受影响的端点。
2. 右键单击Windows开始菜单，然后选择Run（运行）。

3. 在“运行”用户界面 （UI） 中，键入 eventvwr ，然后单击 “确定”。

4. 在事件查看器中，展开 Windows 日志，然后单击 System。

5. 右键单击 System log，然后选择 Filter Current Log。

6. 将 源 设置为 CSAgent。

7. 右键单击 System log，然后选择 Save Filtered Log File As。

8. 将 File Name 更改为 CrowdStrike_[WORKSTATIONNAME].evtx ，然后单击 保存。

禁用

1. 登录 受影响的端点。
2. 右键单击Windows开始菜单，然后选择Run（运行）。

3. 在“运行”用户界面 （UI） 中，键入 regedit ，然后按 CTRL+SHIFT+ENTER 以管理员身份运行 Registry Editor。

4. 如果启用了用户帐户控制 (UAC)，则单击 Yes。否则，转至步骤 5。

5. 请转至 [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]。

6. 按 Delete 键，键入 0，然后单击 “确定”。

7. 单击文件，然后选择退出。

用户可以通过收集以下信息对 Mac 上的 CrowdStrike Falcon Sensor 进行故障处理：

• 安装 日志：用于对安装问题进行故障处理。
• 产品 日志：用于对激活、通信和行为问题进行故障处理。

单击相应的日志类型以了解更多信息。

安装

CrowdStrike Falcon Sensor使用本机install.log来记录安装信息。

1. 从Apple菜单中，单击“Go”（转至），然后选择Go to Folder（转至文件夹）。

2. 键入 /var/log ，然后单击 转至。

3. 复制 Install.log 到随时可用的位置进行进一步调查。

产品

建议 启用 详细模式，然后在 捕获 产品日志之前重现问题。解决问题后，建议 禁用 详细模式。单击相应的过程以了解更多信息。

启用

1. 登录到受影响的端点。
2. 在Apple菜单中，单击Go（转至），然后选择Utilities（实用程序）。

3. 双击 Terminal。

4. 在终端中，键入 sudo sysctl cs.feature=3 然后按 Enter。
5. 填充以下项的 密码 ： sudo，然后按 Enter 键。

6. 确认 cs.feature=3。

捕获

1. 登录 受影响的端点。
2. 在Apple菜单中，单击Go（转至），然后选择Utilities（实用程序）。

3. 双击 Terminal。

4. 在终端中，键入 sudo /Library/CS/falconctl diagnose 然后按 Enter。
5. 填充以下项的密码： sudo，然后按 Enter 键。

6. 几分钟后， falconctl_diagnose.tgz 将在以下位置生成： /private/tmp。

禁用

1. 登录到受影响的端点。
2. 在Apple菜单中，单击Go（转至），然后选择Utilities（实用程序）。

3. 双击 Terminal。

4. 在终端中，键入 sudo sysctl cs.feature=0 然后按 Enter。
5. 填充以下项的密码： sudo，然后按 Enter 键。

6. 确认 cs.feature=0。

1. 登录到受影响的端点。
2. 打开 Linux 终端。

3. 在终端中，键入 su root 然后按 Enter。
4. 填充以下项的 密码 ： sudo，然后按 Enter 键。

5. 键入 sudo mkdir /tmp/CrowdStrike 然后按 Enter。

6. 键入 sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt 然后按 Enter。
7. 键入 sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt 然后按 Enter。
8. 键入 sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt 然后按 Enter。
9. 键入 sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt 然后按 Enter。

10. 捕获内的所有输出文件 /tmp/CrowdStrike （步骤 5）。