Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Samla in CrowdStrike Falcon Sensor-loggar

Summary: Läs om hur du samlar in CrowdStrike Falcon-sensorloggar för felsökning. Steg-för-steg-guider finns för Windows, Mac och Linux.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

I den här artikeln beskrivs metoderna för att samla in loggar för CrowdStrike Falcon-sensorn.


Berörda produkter:

  • CrowdStrike Falcon Sensor

Berörda operativsystem:

  • Windows
  • Mac
  • Linux

Cause

Inte applicerbart

Resolution

Vi rekommenderar starkt att du samlar in loggar innan du felsöker CrowdStrike Falcon-sensorn eller kontaktar Dells support.

Obs! Mer information om hur du kontaktar Dells support finns på Telefonnummer till internationell support för Dell Data Security.

Klicka på Windows, Mac eller Linux om du vill ha relevant loggningsinformation.

En användare kan felsöka CrowdStrike Falcon-sensorn i Windows genom att manuellt samla in loggar för:

  • MSI-loggar : Används för att felsöka installationsproblem.
  • Produktloggar : Används för att felsöka aktiverings-, kommunikations- och beteendeproblem.

Klicka på loggtyperna nedan om du vill ha mer information om dem.

MSI

  1. Logga in på den berörda slutpunkten.
  2. Högerklicka på Windows startmeny och välj Kör.

Kör

  1. I Kör användargränssnitt (UI) skriver du antingen:
    • Om den installerats av användaren: %LOCALAPPDATA%\Temp och klicka sedan på OK.
    • Om det installeras genom automatisk uppdatering: %SYSTEMROOT%\Temp och klicka sedan på OK.

Körgränssnittt

  1. Samla in:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Bilden visar exempel på loggfiler.

Obs!
  • [TIMESTAMP] = Datum och tid för installationen
  • [BIT] = Representerar antingen Agent32 eller Agent64

Produkt

Vi rekommenderar att du aktiverar utförlighet och sedan återskapar problemet innan produktloggarna samlas in . När problemet är löst rekommenderar vi att du inaktiverar utförlighet. Klicka på avsnitten nedan för mer information.

Aktivera
Varning!
  • Dell Technologies rekommenderar att du endast aktiverar utförlighet när du felsöker ett problem.
  • Dell Technologies rekommenderar att du inaktiverar utförlighet när problemet har lösts.
  • Slutpunkter kan få lägre prestanda medan informationsläget är aktivt.
  1. Logga in på den berörda slutpunkten.
  2. Högerklicka på Windows startmeny och välj Kör.

Kör

  1. I Kör användargränssnitt (UI) skriver du regedit och tryck sedan på CTRL+SKIFT+RETUR för att köra Registereditorn som administratör.

Körgränssnittt

  1. Klicka på Ja om UAC (kontroll av användarkonto) är aktiverat. Annars går du till steg 5.

Uppmaning om kontroll av användarkonto

  1. Gå till [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registret

  1. Dubbelklicka AFLAGS.

AFLAGS i registret

  1. Tryck på Delete, skriv 03och klicka sedan på OK.

Skärmen Redigera binärt värde

  1. Klicka på Arkiv och välj sedan Avsluta.

Avslutar Registereditorn

Obs! När loggning har aktiverats återskapar du problemet.
Samla in
  1. Logga in på den berörda slutpunkten.
  2. Högerklicka på Windows startmeny och välj Kör.

Kör

  1. I Kör användargränssnitt (UI) skriver du eventvwr och klicka sedan på OK.

Körgränssnittt

  1. I Loggboken expanderar du Windows-loggar och klickar sedan på System.

Windows-loggar och -system

  1. Högerklicka på systemloggen och välj sedan Filtrera aktuell logg.

Filtrera aktuell logg

  1. Ställ in KällaCSAgent.

Ställa in händelsekälla till CSAgent

  1. Högerklicka på systemloggen och välj sedan Spara filtrerad loggfil som.

Spara filtrerad loggfil som

  1. Ändra filnamnet till CrowdStrike_[WORKSTATIONNAME].evtx och klicka sedan på Spara.

Ändra filnamn och spara

Obs! Dell Technologies rekommenderar att du specificerar [WORKSTATIONNAME] Om problemet uppstår på flera slutpunkter.
Avaktivera
  1. Logga in på den berörda slutpunkten.
  2. Högerklicka på Windows startmeny och välj Kör.

Kör

  1. I Kör användargränssnitt (UI) skriver du regedit och tryck sedan på CTRL+SKIFT+RETUR för att köra Registereditorn som administratör.

Körgränssnittt

  1. Klicka på Ja om UAC (kontroll av användarkonto) är aktiverat. Annars fortsätter du till steg 5.

Uppmaning om kontroll av användarkonto

  1. Gå till [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registret

  1. Tryck på Delete, skriv 0och klicka sedan på OK.

Redigera binärt värde

  1. Klicka på Arkiv och välj sedan Avsluta.

Avsluta registret

En användare kan felsöka CrowdStrike Falcon-sensorn på Mac genom att samla in:

  • Installera loggar: Används för att felsöka installationsproblem.
  • Produktloggar : Används för att felsöka aktiverings-, kommunikations- och beteendeproblem.

Klicka på lämplig loggtyp om du vill ha mer information.

Installera

CrowdStrike Falcon Sensor använder den interna install.log för att dokumentera installationsinformation.

  1. Klicka på Gå i Apple-menyn och välj sedan Gå till mappen.

Gå till mapp

  1. Typ /var/log och klicka sedan på .

Gå till mappgränssnitt

  1. Kopiera Install.log till en lättillgänglig plats för vidare undersökning.

install.log

Obs! Dell Technologies rekommenderar att du söker efter "CrowdStrike" för att säkerställa att informationen är relevant för CrowdStrike.

Produkt

Vi rekommenderar att du aktiverar utförlighet och sedan återskapar problemet innan produktloggarna samlas in . När problemet är löst rekommenderar vi att du inaktiverar utförlighet. Klicka på avsnitten nedan för mer information.

Aktivera
Varning!
  • Dell Technologies rekommenderar att du endast aktiverar utförlighet när du felsöker ett problem.
  • Dell Technologies rekommenderar att du inaktiverar utförlighet när problemet har lösts.
  • Slutpunkter kan få lägre prestanda medan informationsläget är aktivt.
  1. Logga in på den berörda slutpunkten.
  2. Klicka på i Apple-menyn och välj sedan Verktyg.

Verktyg

  1. Dubbelklicka på Terminal.

Terminal

  1. I Terminal skriver du sudo sysctl cs.feature=3 och tryck sedan på Enter.
  2. Ange lösenordet för sudooch tryck sedan på Retur.

Terminal som fyller i sudo-lösenord

  1. Bekräfta cs.feature=3.

Terminalgränssnitt

Obs! När loggning har aktiverats återskapar du problemet.
Samla in
  1. Logga in på den berörda slutpunkten.
  2. Klicka på i Apple-menyn och välj sedan Verktyg.

Verktyg

  1. Dubbelklicka på Terminal.

Terminal

  1. I Terminal skriver du sudo /Library/CS/falconctl diagnose och tryck sedan på Enter.
  2. Ange lösenordet för sudooch tryck sedan på Retur.

Terminal som fyller i sudo-lösenordet

  1. Efter flera minuter, falconctl_diagnose.tgz kommer att genereras i /private/tmp.
Avaktivera
  1. Logga in på den berörda slutpunkten.
  2. Klicka på i Apple-menyn och välj sedan Verktyg.

Verktyg

  1. Dubbelklicka på Terminal.

Terminal

  1. I Terminal skriver du sudo sysctl cs.feature=0 och tryck sedan på Enter.
  2. Ange lösenordet för sudooch tryck sedan på Retur.

Terminal som fyller i sudo-lösenordet

  1. Bekräfta cs.feature=0.

Terminalgränssnitt

  1. Logga in på den berörda slutpunkten.
  2. Öppna Linux Terminal.

Terminal

Obs! Användargränssnittets (UI) layout kan skilja sig åt mellan Linux-distributioner.
  1. I Terminal skriver du su root och tryck sedan på Enter.
  2. Ange lösenordet för sudooch tryck sedan på Retur.

Terminal som fyller i sudo-lösenord

  1. Typ sudo mkdir /tmp/CrowdStrike och tryck sedan på Enter.

Katalog för att skapa terminaler

Obs! Exemplet /tmp/CrowdStrike katalogen kan ändras i din miljö.
  1. Typ sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt och tryck sedan på Enter.
  2. Typ sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt och tryck sedan på Enter.
  3. Typ sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt och tryck sedan på Enter.
  4. Typ sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt och tryck sedan på Enter.

Terminalgränssnitt

Obs! Linux-distributioner kanske inte har alla kataloger i listan.
  1. Samla in alla utdatafiler i /tmp/CrowdStrike (Steg 5) med SSH.

Terminalinhämtningsutgång

Obs!
  • SSH avaktiveras som standard på Linux-distributioner.
  • När SSH har aktiverats kan programvara från tredje part (till exempel PuTTY) användas för att ansluta till Linux-slutpunkten.

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.