Slik henter du inn logger for CrowdStrike Falcon Sensor

En bruker kan feilsøke CrowdStrike Falcon Sensor på Windows ved å samle inn logger manuelt for:

• MSI-logger : Brukes til å feilsøke installasjonsproblemer.
• Produktlogger : Brukes til å feilsøke problemer med aktivering, kommunikasjon og virkemåte.

Klikk på den aktuelle loggtypen for å få mer informasjon.

MSI

1. Logg på det berørte endepunktet.
2. Høyreklikk på Windows-startmenyen, og velg Kjør.

3. I Run user interface (UI) skriver du inn enten:
   • Hvis installert av brukeren: %LOCALAPPDATA%\Temp , og klikk deretter OK.
   • Hvis installert av automatisk oppdatering: %SYSTEMROOT%\Temp , og klikk deretter OK.

4. Samle inn:
   • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
   • CrowdStrike Window Sensor_[TIMESTAMP].log

Produkt

Det anbefales å aktivere detaljrikdom og deretter reprodusere problemet før innhenting av produktlogger. Når problemet er løst, anbefales det å deaktivere utførlighet. Klikk på den aktuelle prosessen for å få mer informasjon.

Aktivere

1. Logg på det berørte endepunktet.
2. Høyreklikk på Windows-startmenyen, og velg Kjør.

3. I Run user interface (UI) skriver du inn regedit og trykk deretter CTRL + SHIFT + ENTER for å kjøre Registerredigering som administrator.

4. Hvis Brukerkontokontroll (UAC) er aktivert, klikker du på Ja. Hvis ikke, går du til trinn 5.

5. Gå til [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

6. Dobbeltklikk AFLAGS.

7. Trykk DEL, skriv 03, og klikk deretter OK.

8. Klikk på Fil og deretter på Avslutt.

Registrere

1. Logg på det berørte endepunktet.
2. Høyreklikk på Windows-startmenyen, og velg Kjør.

3. I Run user interface (UI) skriver du inn eventvwr , og klikk deretter OK.

4. Utvid Windows-logger i hendelseslisten , og klikk deretter System.

5. Høyreklikk systemloggen, og velg deretter Filtrer gjeldende logg.

6. Sett kilden til CSAgent.

7. Høyreklikk systemloggen, og velg deretter Lagre filtrert loggfil som.

8. Endre filnavn til CrowdStrike_[WORKSTATIONNAME].evtx , og klikk deretter Lagre.

Deaktivere

1. Logg på det berørte endepunktet.
2. Høyreklikk på Windows-startmenyen, og velg Kjør.

3. I Run user interface (UI) skriver du inn regedit og trykk deretter CTRL + SHIFT + ENTER for å kjøre Registerredigering som administrator.

4. Hvis Brukerkontokontroll (UAC) er aktivert, klikker du på Ja. Hvis ikke, går du til trinn 5.

5. Gå til [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

6. Trykk DEL, skriv 0, og klikk deretter OK.

7. Klikk på Fil og deretter på Avslutt.

En bruker kan feilsøke CrowdStrike Falcon Sensor på Mac ved å samle inn:

• Installasjonslogger : Brukes til å feilsøke installasjonsproblemer.
• Produktlogger : Brukes til å feilsøke problemer med aktivering, kommunikasjon og virkemåte.

Klikk på den aktuelle loggtypen hvis du vil ha mer informasjon.

Installering

CrowdStrike Falcon Sensor bruker den innebygde install.log til å dokumentere installeringsinformasjon.

1. I Apple-menyen klikker du på Go (Gå) og velger deretter Go to folder (Gå til mappe).

2. Skriv inn /var/log , og klikk deretter Gå til.

3. Kopier Install.log til et lett tilgjengelig sted for videre undersøkelser.

Produkt

Det anbefales å aktivere detaljrikdom og deretter reprodusere problemet før innhenting av produktlogger. Når problemet er løst, anbefales det å deaktivere utførlighet. Klikk på den aktuelle prosessen for å få mer informasjon.

Aktivere

1. Logg inn på det berørte endepunktet.
2. I Apple-menyen klikker du på Go (Gå) og velger Utilities (Verktøy).

3. Dobbeltklikk på Terminal.

4. I Terminal skriver du inn sudo sysctl cs.feature=3 , og trykk deretter Enter.
5. Fyll ut passordet for sudo, og trykk deretter ENTER.

6. Bekrefte cs.feature=3.

Registrere

1. Logg på det berørte endepunktet.
2. I Apple-menyen klikker du på Go (Gå) og velger Utilities (Verktøy).

3. Dobbeltklikk på Terminal.

4. I Terminal skriver du inn sudo /Library/CS/falconctl diagnose , og trykk deretter Enter.
5. Fyll ut passordet for sudo, og trykk deretter ENTER.

6. Etter flere minutter, falconctl_diagnose.tgz vil bli generert i /private/tmp.

Deaktivere

1. Logg inn på det berørte endepunktet.
2. I Apple-menyen klikker du på Go (Gå) og velger Utilities (Verktøy).

3. Dobbeltklikk på Terminal.

4. I Terminal skriver du inn sudo sysctl cs.feature=0 , og trykk deretter Enter.
5. Fyll ut passordet for sudo, og trykk deretter ENTER.

6. Bekrefte cs.feature=0.

1. Logg inn på det berørte endepunktet.
2. Åpne Terminal i Linux.

3. I Terminal skriver du inn su root , og trykk deretter Enter.
4. Fyll ut passordet for sudo, og trykk deretter ENTER.

5. Skriv inn sudo mkdir /tmp/CrowdStrike , og trykk deretter Enter.

6. Skriv inn sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt , og trykk deretter Enter.
7. Skriv inn sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt , og trykk deretter Enter.
8. Skriv inn sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt , og trykk deretter Enter.
9. Skriv inn sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt , og trykk deretter Enter.

10. Ta opp alle utdatafiler innen /tmp/CrowdStrike (Trinn 5) ved hjelp av SSH.