Przejdź do głównej zawartości
  • Szybkie i łatwe składanie zamówień
  • Wyświetlanie zamówień i śledzenie stanu wysyłki
  • Tworzenie i dostęp do listy produktów

Як збирати журнали датчиків CrowdStrike Falcon

Podsumowanie: Дізнайтеся, як збирати логи CrowdStrike Falcon Sensor для усунення несправностей. Покрокові інструкції доступні для Windows, Mac і Linux.

Ten artykuł dotyczy Ten artykuł nie dotyczy Ten artykuł nie jest powiązany z żadnym konkretnym produktem. Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.

Objawy

У цій статті розглядаються методи збору логів для CrowdStrike Falcon Sensor.


Продукти, на які впливають:

  • Датчик CrowdStrike Falcon

Операційні системи, яких це стосується:

  • Вікна
  • Комп'ютер Mac
  • Лінукс

Przyczyna

Не застосовується

Rozwiązanie

Настійно рекомендується збирати журнали, перш ніж усувати неполадки CrowdStrike Falcon Sensor або звертатися до служби підтримки Dell.

Примітка: Для отримання додаткової інформації про звернення до служби підтримки Dell зверніться до номерів телефонів міжнародної служби підтримки Dell Data Security.

Виберіть пункт Windows, Mac або Linux , щоб переглянути відповідну інформацію для журналювання.

Користувач може усунути неполадки CrowdStrike Falcon Sensor у Windows, вручну зібравши журнали для:

  • Журнали MSI : Використовується для усунення проблем зі встановленням.
  • Журнали продукції : Використовується для усунення проблем з активацією, зв'язком і поведінкою.

Виберіть відповідний тип журналу, щоб дізнатися більше.

MSI

  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Виконати інтерфейс користувача (UI) введіть одну з таких команд:
    • Якщо встановлено користувачем: %LOCALAPPDATA%\Temp і натисніть кнопку ОК.
    • Якщо встановлено за допомогою автоматичного оновлення: %SYSTEMROOT%\Temp і натисніть кнопку ОК.

Запустити інтерфейс користувача

  1. Зберіть:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

На зображенні зображені приклади файлів журналу.

Примітка:
  • [TIMESTAMP] = Дата і час встановлення
  • [BIT] = Представляє або Agent32, або Agent64

Продукт

Рекомендується Увімкнути детальність, а потім відтворити проблему перед записом журналів продуктів . Після того, як проблему буде вирішено, рекомендується вимкнути детальність. Натисніть відповідну процедуру, щоб дізнатися більше.

Вмикати
Попередження:
  • Dell Technologies рекомендує вмикати детальність лише під час усунення неполадок.
  • Dell Technologies рекомендує вимкнути детальність після вирішення проблеми.
  • Кінцеві точки можуть знижувати продуктивність, коли ввімкнено детальність.
  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Запустити інтерфейс користувача (UI) введіть regedit і натисніть сполучення клавіш CTRL+SHIFT+ENTER, щоб запустити редактор реєстру від імені адміністратора.

Запустити інтерфейс користувача

  1. Якщо службу захисту користувачів (UAC) увімкнуто, натисніть кнопку Так. В іншому випадку перейдіть до кроку 5.

Запит служби захисту користувачів

  1. Іти до [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Реєстру

  1. Подвійне клацання AFLAGS.

AFLAGS у реєстрі

  1. Натисніть Delete, введіть 03, а потім натисніть кнопку ОК.

Редагувати екран двійкових значень

  1. Натисніть кнопку Файл, а потім виберіть Вийти.

Вихід з редактора реєстру

Примітка: Увімкнувши ведення журналу, відтворіть проблему.
Захоплення
  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Запустити інтерфейс користувача (UI) введіть eventvwr і натисніть кнопку ОК.

Запустити інтерфейс користувача

  1. У вікні «Перегляд подій» розгорніть розділ «Журнали Windows » і виберіть пункт «Система».

Журнали Windows і система

  1. Клацніть правою кнопкою миші системний журнал і виберіть команду Фільтрувати поточний журнал.

Фільтрувати поточний журнал

  1. Встановіть для параметра Джерело значення CSAgent.

Встановлення джерела події на CSAgent

  1. Клацніть правою кнопкою миші системний журнал і виберіть пункт Зберегти відфільтрований файл журналу як.

Збережіть відфільтрований файл журналу як

  1. Змініть ім'я файлу на CrowdStrike_[WORKSTATIONNAME].evtx , а потім натисніть кнопку Зберегти.

Зміна імені файлу та збереження

Примітка: Dell Technologies рекомендує вказувати [WORKSTATIONNAME] у випадку, якщо проблема виникає на кількох кінцевих точках.
Вимкнути
  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Запустити інтерфейс користувача (UI) введіть regedit і натисніть сполучення клавіш CTRL+SHIFT+ENTER, щоб запустити редактор реєстру від імені адміністратора.

Запустити інтерфейс користувача

  1. Якщо службу захисту користувачів (UAC) увімкнуто, натисніть кнопку Так. В іншому випадку перейдіть до кроку 5.

Запит служби захисту користувачів

  1. Іти до [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Реєстру

  1. Натисніть Delete, введіть 0, а потім натисніть кнопку ОК.

Редагувати двійкове значення

  1. Натисніть кнопку Файл, а потім виберіть Вийти.

Вихід з реєстру

Користувач може усунути неполадки CrowdStrike Falcon Sensor на Mac, зібравши:

Клацніть відповідний тип журналу, щоб отримати додаткові відомості.

Інсталювати

CrowdStrike Falcon Sensor використовує вбудовану інсталяцію.log для документування інформації про встановлення.

  1. У меню Apple натисніть «Перейти», а потім виберіть «Перейти до папки».

Перейти до папки

  1. Тип /var/log , а потім натисніть кнопку Перейти.

Перейдіть до інтерфейсу папки

  1. Копіювати Install.log до легкодоступного місця для подальшого дослідження.

встановити.log

Примітка: Dell Technologies рекомендує шукати "CrowdStrike", щоб переконатися, що інформація релевантна CrowdStrike.

Продукт

Рекомендується Увімкнути детальність, а потім відтворити проблему перед записом журналів продуктів . Після того, як проблему буде вирішено, рекомендується вимкнути детальність. Натисніть відповідну процедуру, щоб дізнатися більше.

Вмикати
Попередження:
  • Dell Technologies рекомендує вмикати детальність лише під час усунення неполадок.
  • Dell Technologies рекомендує вимкнути детальність після вирішення проблеми.
  • Кінцеві точки можуть знижувати продуктивність, коли ввімкнено детальність.
  1. Увійдіть до відповідної кінцевої точки.
  2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

Утиліти

  1. Двічі клацніть пункт Термінал.

Термінал

  1. У Терміналі введіть sudo sysctl cs.feature=3 , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Підтвердити cs.feature=3.

Інтерфейс терміналу

Примітка: Увімкнувши ведення журналу, відтворіть проблему.
Захоплення
  1. Увійдіть до відповідної кінцевої точки.
  2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

Утиліти

  1. Двічі клацніть пункт Термінал.

Термінал

  1. У Терміналі введіть sudo /Library/CS/falconctl diagnose , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Через кілька хвилин, falconctl_diagnose.tgz буде згенеровано в /private/tmp.
Вимкнути
  1. Увійдіть до відповідної кінцевої точки.
  2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

Утиліти

  1. Двічі клацніть пункт Термінал.

Термінал

  1. У Терміналі введіть sudo sysctl cs.feature=0 , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Підтвердити cs.feature=0.

Інтерфейс терміналу

  1. Увійдіть до відповідної кінцевої точки.
  2. Відкрийте термінал Linux.

Термінал

Примітка: Компонування інтерфейсу користувача (UI) може відрізнятися у різних дистрибутивах Linux.
  1. У Терміналі введіть su root , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Тип sudo mkdir /tmp/CrowdStrike , а потім натисніть клавішу Enter.

Каталог створення терміналів

Примітка: Приклад /tmp/CrowdStrike каталог може бути змінений у вашому середовищі.
  1. Тип sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt , а потім натисніть клавішу Enter.
  2. Тип sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt , а потім натисніть клавішу Enter.
  3. Тип sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt , а потім натисніть клавішу Enter.
  4. Тип sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt , а потім натисніть клавішу Enter.

Інтерфейс терміналу

Примітка: Дистрибутиви Linux можуть мати не всі каталоги зі списку.
  1. Захоплюйте всі вихідні файли всередині /tmp/CrowdStrike (Крок 5) за допомогою SSH.

Вихід захоплення терміналу

Примітка:
  • Типово, SSH вимкнено у дистрибутивах Linux.
  • Після ввімкнення SSH для підключення до кінцевої точки Linux можна використовувати стороннє програмне забезпечення (наприклад, PuTTY).

Щоб зв'язатися зі службою підтримки, зверніться за номерами телефонів міжнародної служби підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову інформацію та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.

Produkty, których dotyczy problem

CrowdStrike
Właściwości artykułu
Numer artykułu: 000178209
Typ artykułu: Solution
Ostatnia modyfikacja: 01 lut 2024
Wersja:  17
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.