Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

CrowdStrike Falcon Sensorのログの収集方法

Сводка: トラブルシューティングのためにCrowdStrike Falcon Sensorのログを収集する方法について説明します。ステップバイステップ ガイドは、Windows、Mac、およびLinuxで利用できます。

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

この記事では、CrowdStrike Falcon Sensorのログを収集する方法について説明します。


対象製品:

  • CrowdStrike Falcon Sensor

対象オペレーティング システム:

  • Windows
  • Mac
  • Linux

Причина

該当なし

Разрешение

CrowdStrike Falcon Sensorのトラブルシューティングを行う前、またはDellサポートに問い合わせる前に、ログを収集することを強くお勧めします。

注:Dellサポートに関するお問い合わせの詳細については、「デル データ セキュリティのインターナショナル サポート電話番号」を参照してください。

関連するログ情報については、[ Windows]、[ Mac]、または [Linux ]をクリックします。

ユーザーは、次のログを手動で収集することで、Windows上のCrowdStrike Falcon Sensorのトラブルシューティングを行うことができます。

  • MSI ログ: インストールの問題をトラブルシューティングするために使用します。
  • 製品 ログ: アクティブ化、通信、動作の問題をトラブルシューティングするために使用します。

詳細については、該当するログ タイプをクリックしてください。

MSI

  1. 影響を受けるエンドポイントにログインします
  2. Windowsの「スタート」メニューを右クリックして、「ファイル名を指定して実行」を選択します。

実行

  1. [ファイル名を指定して実行]ユーザー インターフェイス(UI)で、次のいずれかを入力します。
    • ユーザーがインストールした場合: %LOCALAPPDATA%\Temp をクリックし 、「OK」をクリックします。
    • 自動アップデートによってインストールされている場合: %SYSTEMROOT%\Temp をクリックし 、「OK」をクリックします。

[ファイル名を指定して実行]UI

  1. 収集:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

画像は、ログ ファイルの例を示しています。

注:
  • [TIMESTAMP] = インストールの日付と時刻
  • [BIT] = Agent32またはAgent64のいずれかを表します。

製品

製品ログを収集する前に、冗長性を有効にしてから問題を再現することをお勧めします。問題が解決したら、冗長性 を無効にする ことをお勧めします。詳細については、適切なプロセスをクリックしてください。

有効
Warning:
  • デル・テクノロジーズでは、問題のトラブルシューティング時にのみ冗長性を有効にすることをお勧めします。
  • デル・テクノロジーズでは、問題の解決後は冗長性を無効にすることをお勧めします。
  • 冗長性が有効になっていると、エンドポイントでパフォーマンスが低下する場合があります。
  1. 影響を受けるエンドポイントにログインします
  2. Windowsの「スタート」メニューを右クリックして、「ファイル名を指定して実行」を選択します。

実行

  1. [ファイル名を指定して実行]ユーザー インターフェイス(UI)で、次を入力します。 regedit 次に、CTRL+SHIFT+ENTERを押して、レジストリー エディターを管理者として実行します。

[ファイル名を指定して実行]UI

  1. ユーザー アカウント制御(UAC)が有効になっている場合は、[Yes]をクリックします。それ以外の場合は、手順5に進みます。

[ユーザー アカウント制御]プロンプト

  1. 行きます [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]に戻ります。

レジストリー

  1. ダブルクリック AFLAGSに戻ります。

レジストリー内のAFLAGS

  1. Deleteを押して、 03をクリックし 、[OK] をクリックします。

[Edit Binary Value]画面

  1. ファイル]メニューの[終了]をクリックします。

レジストリー エディターの終了

注:ログが有効化されたら、問題を再現します。
キャプチャ
  1. 影響を受けるエンドポイントにログインします
  2. Windowsの「スタート」メニューを右クリックして、「ファイル名を指定して実行」を選択します。

実行

  1. [ファイル名を指定して実行]ユーザー インターフェイス(UI)で、次を入力します。 eventvwr をクリックし 、「OK」をクリックします。

[ファイル名を指定して実行]UI

  1. イベント ビューアーで[Windows ログ]を展開し、[システム]をクリックします。

Windowsログとシステム

  1. [システム ログ]を右クリックし、[現在のログをフィルター]を選択します。

現在のログのフィルタリング

  1. [ソース] を CSAgentに戻ります。

イベント ソースをCSAgentに設定する

  1. [システム ログ]を右クリックして[フィルターされたログ ファイルの名前を付けて保存]を選択します。

フィルター処理されたログ ファイルに名前を付けて保存

  1. ファイル名を CrowdStrike_[WORKSTATIONNAME].evtx をクリックし 、「保存」をクリックします。

ファイル名の変更と保存

注:デル・テクノロジーズでは、指定することを推奨しています [WORKSTATIONNAME] 問題が複数のエンドポイントで発生している場合。
Disable
  1. 影響を受けるエンドポイントにログインします
  2. Windowsの「スタート」メニューを右クリックして、「ファイル名を指定して実行」を選択します。

実行

  1. [ファイル名を指定して実行]ユーザー インターフェイス(UI)で、次を入力します。 regedit 次に、CTRL+SHIFT+ENTERを押して、レジストリー エディターを管理者として実行します。

[ファイル名を指定して実行]UI

  1. ユーザー アカウント制御(UAC)が有効になっている場合は、[Yes]をクリックします。それ以外の場合は、手順5に進みます。

[ユーザー アカウント制御]プロンプト

  1. 次のリンクにアクセスする: [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]に戻ります。

レジストリー

  1. Deleteを押して、 0をクリックし 、[OK] をクリックします。

バイナリ値の編集

  1. ファイル]メニューの[終了]をクリックします。

レジストリの終了

ユーザーは、次の情報を収集することで、Mac上のCrowdStrike Falcon Sensorをトラブルシューティングできます。

  • インストール ログ: インストールの問題をトラブルシューティングするために使用します。
  • 製品 ログ: アクティブ化、通信、動作の問題をトラブルシューティングするために使用します。

詳細については、該当するログ タイプをクリックしてください。

インストール

CrowdStrike Falcon Sensorは、ネイティブのinstall.logを使用してインストール情報を文書化します。

  1. アップル メニューの[移動]をクリックし、次に[フォルダへー移動]を選択します。

[Go to Folder]

  1. コマンド /var/log をクリックし、「 実行」をクリックします。

フォルダーUIに移動

  1. コピー Install.log さらなる調査のためにすぐに利用できる場所に。

install.log

注:デル・テクノロジーズでは、「CrowdStrike」を検索して、情報がCrowdStrikeに関連していることを確認することをお勧めします。

製品

製品ログを収集する前に、冗長性を有効にしてから問題を再現することをお勧めします。問題が解決したら、冗長性 を無効にする ことをお勧めします。詳細については、適切なプロセスをクリックしてください。

有効
Warning:
  • デル・テクノロジーズでは、問題のトラブルシューティング時にのみ冗長性を有効にすることをお勧めします。
  • デル・テクノロジーズでは、問題の解決後は冗長性を無効にすることをお勧めします。
  • 冗長性が有効になっていると、エンドポイントでパフォーマンスが低下する場合があります。
  1. 対象のエンドポイントにログインします。
  2. アップル メニューの[移動]をクリックし、[ユーティリティ]を選択します。

ユーティリティ

  1. ターミナル]をダブルクリックします。

端末

  1. ターミナルで、「sudo shasum -a 256 [FILENAME]」と入力して、 sudo sysctl cs.feature=3 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。
  2. 次の パスワード を入力します: sudoをクリックし、Enter キーを押します。

ターミナルでsudoパスワードを入力します

  1. [Confirm] cs.feature=3に戻ります。

ターミナルUI

注:ログが有効化されたら、問題を再現します。
キャプチャ
  1. 影響を受けるエンドポイントにログインします
  2. アップル メニューの[移動]をクリックし、[ユーティリティ]を選択します。

ユーティリティ

  1. ターミナル]をダブルクリックします。

端末

  1. ターミナルで、「sudo shasum -a 256 [FILENAME]」と入力して、 sudo /Library/CS/falconctl diagnose 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。
  2. 次のパスワードを入力します: sudoをクリックし、Enter キーを押します。

sudoパスワードを入力するターミナル

  1. 数分後、 falconctl_diagnose.tgz で生成されます /private/tmpに戻ります。
Disable
  1. 対象のエンドポイントにログインします。
  2. アップル メニューの[移動]をクリックし、[ユーティリティ]を選択します。

ユーティリティ

  1. ターミナル]をダブルクリックします。

端末

  1. ターミナルで、「sudo shasum -a 256 [FILENAME]」と入力して、 sudo sysctl cs.feature=0 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。
  2. 次のパスワードを入力します: sudoをクリックし、Enter キーを押します。

sudoパスワードを入力するターミナル

  1. [Confirm] cs.feature=0に戻ります。

ターミナルUI

  1. 対象のエンドポイントにログインします。
  2. Linuxのターミナルを開きます。

端末

注:ユーザー インターフェイス(UI)レイアウトは、Linuxディストリビューションによって異なる場合があります。
  1. ターミナルで、「sudo shasum -a 256 [FILENAME]」と入力して、 su root 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。
  2. 次の パスワード を入力します: sudoをクリックし、Enter キーを押します。

ターミナルでsudoパスワードを入力します

  1. コマンド sudo mkdir /tmp/CrowdStrike 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。

ターミナル作成ディレクトリー

注:/tmp/CrowdStrike ディレクトリは、環境内で変更できます。
  1. コマンド sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。
  2. コマンド sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。
  3. コマンド sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。
  4. コマンド sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。

ターミナルUI

注:Linuxディストリビューションによっては、リストされているすべてのディレクトリーが含まれていない場合もあります。
  1. 内のすべての出力ファイルをキャプチャします /tmp/CrowdStrike (ステップ5)をSSHで使用します。

ターミナルのキャプチャ出力

注:
  • デフォルトでSSHは、Linuxディストリビューション上で無効になっています。
  • SSHが有効になると、サード パーティー製ソフトウェア(PuTTYなど)を使用して、Linuxエンドポイントへの接続ができます。

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

Дополнительная информация

 

Видео

 

Затронутые продукты

CrowdStrike
Свойства статьи
Номер статьи: 000178209
Тип статьи: Solution
Последнее изменение: 01 Feb 2024
Версия:  17
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.