Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

CrowdStrike Falcon Sensor 로그를 수집하는 방법

Сводка: 문제 해결을 위해 CrowdStrike Falcon Sensor 로그를 수집하는 방법에 대해 알아보십시오. 단계별 가이드는 Windows, Mac 및 Linux에서 사용할 수 있습니다.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

이 문서에서는 CrowdStrike Falcon Sensor의 로그를 수집하는 방법에 대해 설명합니다.


영향을 받는 제품:

  • CrowdStrike Falcon Sensor

영향을 받는 운영 체제:

  • Windows
  • Mac
  • Linux

Причина

해당 사항 없음

Разрешение

CrowdStrike Falcon Sensor의 문제를 해결하거나 Dell 지원에 문의하기 전에 로그를 수집하는 것이 좋습니다.

참고: Dell 지원에 문의하는 방법에 대한 자세한 내용은 Dell Data Security 국제 지원 전화번호를 참조하십시오.

관련 로깅 정보를 보려면 Windows, Mac 또는 Linux 를 클릭합니다.

사용자는 다음에 대한 로그를 수동으로 수집하여 Windows에서 CrowdStrike Falcon Sensor의 문제를 해결할 수 있습니다.

  • MSI 로그: 설치 문제를 해결하는 데 사용됩니다.
  • 제품 로그: 활성화, 통신 및 동작 문제를 해결하는 데 사용됩니다.

자세한 내용을 확인하려면 해당 로깅 유형을 클릭하십시오.

MSI

  1. 영향을 받는 엔드포인트에 로그인합니다.
  2. Windows 시작 메뉴를 마우스 오른쪽 버튼으로 클릭한 다음 Run을 선택합니다.

영향을 받는 시스템에서

  1. 실행 UI(User Interface)에 다음 중 하나를 입력합니다.
    • 사용자가 설치한 경우: %LOCALAPPDATA%\Temp 을 클릭한 다음 OK를 클릭합니다.
    • 자동 업데이트로 설치한 경우: %SYSTEMROOT%\Temp 을 클릭한 다음 OK를 클릭합니다.

UI 실행

  1. 수집:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

로그 파일의 예를 보여 주는 이미지

참고:
  • [TIMESTAMP] = 설치 날짜 및 시간
  • [BIT] = Agent32 또는 Agent64를 나타냄

제품

제품 로그를 캡처하기 전에 세부 정보 표시를 활성화한 다음 문제를 재현하는 것이 좋습니다. 문제가 해결되면 세부 정보 표시를 비활성화 하는 것이 좋습니다. 자세한 내용을 확인하려면 해당 프로세스를 클릭하십시오.

활성화
Warning:
  • 문제를 해결할 때만 세부 정보 표시를 활성화하는 것이 좋습니다.
  • Dell Technologies는 문제가 해결된 후 세부 정보 표시를 비활성화할 것을 권장합니다.
  • 세부 정보 표시가 활성화되어 있으면 엔드포인트에 성능 저하가 발생할 수 있습니다.
  1. 영향을 받는 엔드포인트에 로그인합니다.
  2. Windows 시작 메뉴를 마우스 오른쪽 버튼으로 클릭한 다음 Run을 선택합니다.

영향을 받는 시스템에서

  1. 실행 UI(User Interface)에 다음을 입력합니다. regedit 그런 다음 CTRL+SHIFT+ENTER를 눌러 관리자 권한으로 레지스트리 편집기를 실행합니다.

UI 실행

  1. UAC(User Account Control)가 활성화된 경우 Yes를 클릭합니다. 그렇지 않으면 5단계를 진행합니다.

사용자 계정 컨트롤 프롬프트

  1. 로 가다 [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]와 함께 사용할 수 없습니다.

레지스트리

  1. 두 번 클릭 AFLAGS와 함께 사용할 수 없습니다.

레지스트리의 AFLAGS

  1. Delete 키를 누르고 다음을 입력합니다. 03를 클릭한 다음 확인을 클릭합니다.

Edit Binary Value 화면

  1. File을 클릭하고 Exit을 선택합니다.

레지스트리 편집기 종료

참고: 로깅이 활성화되면 문제를 재현합니다.
캡처
  1. 영향을 받는 엔드포인트에 로그인합니다.
  2. Windows 시작 메뉴를 마우스 오른쪽 버튼으로 클릭한 다음 Run을 선택합니다.

영향을 받는 시스템에서

  1. 실행 UI(User Interface)에 다음을 입력합니다. eventvwr 을 클릭한 다음 OK를 클릭합니다.

UI 실행

  1. 이벤트 뷰어에서 Windows 로그를 확장한 다음 System을 클릭합니다.

Windows 로그 및 시스템

  1. 시스템 로그를 마우스 오른쪽 버튼으로 클릭한 다음 Filter Current Log를 선택합니다.

현재 로그 필터링

  1. Source를 다음으로 설정합니다. CSAgent와 함께 사용할 수 없습니다.

이벤트 소스를 CSAgent로 설정

  1. 시스템 로그를 마우스 오른쪽 버튼으로 클릭한 다음 Save Filtered Log File As를 선택합니다.

다른 이름으로 필터링된 로그 파일 저장

  1. 파일 이름을 다음으로 변경합니다. CrowdStrike_[WORKSTATIONNAME].evtx 을 클릭한 다음 저장을 클릭합니다.

파일 이름 변경 및 저장

참고: Dell Technologies는 [WORKSTATIONNAME] 문제가 여러 엔드포인트에서 발생하는 경우.
비활성화
  1. 영향을 받는 엔드포인트에 로그인합니다.
  2. Windows 시작 메뉴를 마우스 오른쪽 버튼으로 클릭한 다음 Run을 선택합니다.

영향을 받는 시스템에서

  1. 실행 UI(User Interface)에 다음을 입력합니다. regedit 그런 다음 CTRL+SHIFT+ENTER를 눌러 관리자 권한으로 레지스트리 편집기를 실행합니다.

UI 실행

  1. UAC(User Account Control)가 활성화된 경우 Yes를 클릭합니다. 그렇지 않으면 5단계를 진행합니다.

사용자 계정 컨트롤 프롬프트

  1. 다음 사이트로 이동합니다. [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]와 함께 사용할 수 없습니다.

레지스트리

  1. Delete 키를 누르고 다음을 입력합니다. 0를 클릭한 다음 확인을 클릭합니다.

바이너리 값 편집

  1. File을 클릭하고 Exit을 선택합니다.

레지스트리 종료

사용자는 다음을 수집하여 Mac에서 CrowdStrike Falcon Sensor의 문제를 해결할 수 있습니다.

  • 설치 로그: 설치 문제를 해결하는 데 사용됩니다.
  • 제품 로그: 활성화, 통신 및 동작 문제를 해결하는 데 사용됩니다.

자세한 내용을 확인하려면 해당 로그 유형을 클릭하십시오.

설치

CrowdStrike Falcon Sensor는 기본 install.log를 사용하여 설치 정보를 문서화합니다.

  1. Apple 메뉴에서 이동을 클릭한 다음 Go to Folder를 선택합니다.

폴더로 이동

  1. 다음을 입력합니다. /var/log 을 클릭한 다음 이동을 클릭합니다.

폴더 UI로 이동

  1. 복사 Install.log 추가 조사를 위해 쉽게 사용할 수 있는 위치로 이동합니다.

install.log

참고: 정보가 CrowdStrike와 관련이 있는지 확인하기 위해 "CrowdStrike"를 검색하는 것이 좋습니다.

제품

제품 로그를 캡처하기 전에 세부 정보 표시를 활성화한 다음 문제를 재현하는 것이 좋습니다. 문제가 해결되면 세부 정보 표시를 비활성화 하는 것이 좋습니다. 자세한 내용을 확인하려면 해당 프로세스를 클릭하십시오.

활성화
Warning:
  • 문제를 해결할 때만 세부 정보 표시를 활성화하는 것이 좋습니다.
  • Dell Technologies는 문제가 해결된 후 세부 정보 표시를 비활성화할 것을 권장합니다.
  • 세부 정보 표시가 활성화되어 있으면 엔드포인트에 성능 저하가 발생할 수 있습니다.
  1. 영향을 받는 엔드포인트에 로그인합니다.
  2. Apple 메뉴에서 Go를 클릭한 다음 Utilities를 선택합니다.

유틸리티

  1. Terminal을 두 번 클릭합니다.

Terminal

  1. Terminal에서 sudo sysctl cs.feature=3 를 입력한 다음 키를 누릅니다.
  2. 다음에 대한 암호를 입력합니다. sudo를 입력한 다음 Enter 키를 누릅니다.

터미널에서 sudo 암호 입력

  1. 확인 cs.feature=3와 함께 사용할 수 없습니다.

터미널 UI

참고: 로깅이 활성화되면 문제를 재현합니다.
캡처
  1. 영향을 받는 엔드포인트에 로그인합니다.
  2. Apple 메뉴에서 Go를 클릭한 다음 Utilities를 선택합니다.

유틸리티

  1. Terminal을 두 번 클릭합니다.

Terminal

  1. Terminal에서 sudo /Library/CS/falconctl diagnose 를 입력한 다음 키를 누릅니다.
  2. 다음에 대한 암호를 입력합니다. sudo를 입력한 다음 Enter 키를 누릅니다.

터미널에서 sudo 암호 입력

  1. 몇 분 후, falconctl_diagnose.tgz 에서 생성됩니다. /private/tmp와 함께 사용할 수 없습니다.
비활성화
  1. 영향을 받는 엔드포인트에 로그인합니다.
  2. Apple 메뉴에서 Go를 클릭한 다음 Utilities를 선택합니다.

유틸리티

  1. Terminal을 두 번 클릭합니다.

Terminal

  1. Terminal에서 sudo sysctl cs.feature=0 를 입력한 다음 키를 누릅니다.
  2. 다음에 대한 암호를 입력합니다. sudo를 입력한 다음 Enter 키를 누릅니다.

터미널에서 sudo 암호 입력

  1. 확인 cs.feature=0와 함께 사용할 수 없습니다.

터미널 UI

  1. 영향을 받는 엔드포인트에 로그인합니다.
  2. Linux의 Terminal을 엽니다.

Terminal

참고: UI(User Interface) 레이아웃은 Linux 배포마다 다를 수 있습니다.
  1. Terminal에서 su root 를 입력한 다음 키를 누릅니다.
  2. 다음에 대한 암호를 입력합니다. sudo를 입력한 다음 Enter 키를 누릅니다.

터미널에서 sudo 암호 입력

  1. 다음을 입력합니다. sudo mkdir /tmp/CrowdStrike 를 입력한 다음 키를 누릅니다.

디렉토리를 만드는 터미널

참고: 예제 /tmp/CrowdStrike 디렉토리는 사용자 환경에서 수정할 수 있습니다.
  1. 다음을 입력합니다. sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt 를 입력한 다음 키를 누릅니다.
  2. 다음을 입력합니다. sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt 를 입력한 다음 키를 누릅니다.
  3. 다음을 입력합니다. sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt 를 입력한 다음 키를 누릅니다.
  4. 다음을 입력합니다. sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt 를 입력한 다음 키를 누릅니다.

터미널 UI

참고: Linux 배포판에 나열된 디렉토리가 모두 없을 수 있습니다.
  1. 내의 모든 출력 파일 캡처 /tmp/CrowdStrike (5단계) SSH를 사용합니다.

터미널 캡처 출력

참고:
  • 기본적으로 SSH는 Linux 배포에서 비활성화됩니다.
  • SSH가 활성화되면 타사 소프트웨어(예: PuTTY)를 사용하여 Linux 엔드포인트에 연결할 수 있습니다.

지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.

Дополнительная информация

 

Видео

 

Затронутые продукты

CrowdStrike
Свойства статьи
Номер статьи: 000178209
Тип статьи: Solution
Последнее изменение: 01 Feb 2024
Версия:  17
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.