Como coletar logs do sensor CrowdStrike Falcon

Um usuário pode solucionar problemas do sensor CrowdStrike Falcon no Windows coletando registros manualmente para:

• Registros MSI : Usado para solucionar problemas de instalação.
• Registros do produto: Usado para solucionar problemas de ativação, comunicação e comportamento.

Clique no tipo apropriado de log para obter mais informações.

MSI

1. Faça log-in no endpoint afetado.
2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

3. Na interface do usuário (IU) Executar, digite:
   • Se a instalação tiver sido feita pelo usuário: %LOCALAPPDATA%\Temp e, em seguida, clique em OK.
   • Se a instalação tiver sido feita pela atualização automática: %SYSTEMROOT%\Temp e, em seguida, clique em OK.

4. Colete:
   • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
   • CrowdStrike Window Sensor_[TIMESTAMP].log

Produto

É recomendável habilitar o detalhamento e, em seguida, reproduzir o problema antes da captura dos registros do produto. Depois que o problema for resolvido, é recomendável desativar o detalhamento. Clique no processo adequado para obter mais informações.

Ativar

1. Faça log-in no endpoint afetado.
2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

3. Na interface do usuário (UI) Executar, digite regedit e, em seguida, pressione CTRL+SHIFT+ENTER para executar o Editor do Registro como administrador.

4. Se a opção UAC (User Account Control, controle da conta de usuário) estiver ativada, clique em Yes. Caso contrário, avance para a etapa 5.

5. Ir para [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

6. Clique duas vezes AFLAGS.

7. Pressione Delete, digite 03e, em seguida, clique em OK.

8. Clique em File (Arquivo) e, depois, em Exit (Sair).

Captura

1. Faça log-in no endpoint afetado.
2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

3. Na interface do usuário (UI) Executar, digite eventvwr e, em seguida, clique em OK.

4. No Visualizador de Eventos, expanda Logs do Windows e clique em Sistema.

5. Clique com o botão direito no log do sistema e selecione Filtrar Log Atual.

6. Defina a origem como CSAgent.

7. Clique com o botão direito do mouse no log do sistema e selecione Salvar Arquivo de Log Filtrado Como.

8. Alterar nome do arquivo para CrowdStrike_[WORKSTATIONNAME].evtx e, em seguida, clique em Salvar.

Desativar

1. Faça log-in no endpoint afetado.
2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

3. Na interface do usuário (UI) Executar, digite regedit e, em seguida, pressione CTRL+SHIFT+ENTER para executar o Editor do Registro como administrador.

4. Se a opção UAC (User Account Control, controle da conta de usuário) estiver ativada, clique em Yes. Caso contrário, avance para a etapa 5.

5. Acesse a página [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

6. Pressione Delete, digite 0e, em seguida, clique em OK.

7. Clique em File (Arquivo) e, depois, em Exit (Sair).

Um usuário pode solucionar problemas do sensor CrowdStrike Falcon no Mac coletando:

• Registros de instalação: Usado para solucionar problemas de instalação.
• Registros do produto: Usado para solucionar problemas de ativação, comunicação e comportamento.

Clique no tipo apropriado de log para obter mais informações.

Instalação

O sensor CrowdStrike Falcon usa o install.log nativo para documentar as informações de instalação.

1. No menu Apple, clique em Go (Ir) e, em seguida, selecione Go to Folder (Ir para pasta).

2. Digite /var/log e, em seguida, clique em Go.

3. Copiar Install.log para um local prontamente disponível para investigação mais detalhada.

Produto

É recomendável habilitar o detalhamento e, em seguida, reproduzir o problema antes da captura dos registros do produto. Depois que o problema for resolvido, é recomendável desativar o detalhamento. Clique no processo adequado para obter mais informações.

Ativar

1. Faça login no endpoint afetado.
2. No menu Apple, clique em Go e, em seguida, selecione Utilities.

3. Clique duas vezes em Terminal.

4. Em Terminal, digite sudo sysctl cs.feature=3 e pressione Enter.
5. Preencha a senha para sudoe pressione Enter.

6. Confirm cs.feature=3.

Captura

1. Faça log-in no endpoint afetado.
2. No menu Apple, clique em Go e, em seguida, selecione Utilities.

3. Clique duas vezes em Terminal.

4. Em Terminal, digite sudo /Library/CS/falconctl diagnose e pressione Enter.
5. Preencha a senha para sudoe pressione Enter.

6. Após alguns minutos, falconctl_diagnose.tgz serão gerados em /private/tmp.

Desativar

1. Faça login no endpoint afetado.
2. No menu Apple, clique em Go e, em seguida, selecione Utilities.

3. Clique duas vezes em Terminal.

4. Em Terminal, digite sudo sysctl cs.feature=0 e pressione Enter.
5. Preencha a senha para sudoe pressione Enter.

6. Confirm cs.feature=0.

1. Faça login no endpoint afetado.
2. Abra o Terminal do Linux.

3. Em Terminal, digite su root e pressione Enter.
4. Preencha a senha para sudoe pressione Enter.

5. Digite sudo mkdir /tmp/CrowdStrike e pressione Enter.

6. Digite sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt e pressione Enter.
7. Digite sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt e pressione Enter.
8. Digite sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt e pressione Enter.
9. Digite sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt e pressione Enter.

10. Capturar todos os arquivos de saída no /tmp/CrowdStrike (Etapa 5) usando SSH.