Come raccogliere i registri per CrowdStrike Falcon Sensor

Per la risoluzione dei problemi di CrowdStrike Falcon Sensor in Windows, è possibile raccogliere manualmente i seguenti registri:

• Registri MSI : utilizzati per la risoluzione dei problemi di installazione.
• Registri del prodotto : utilizzati per la risoluzione di problemi di attivazione, comunicazione e funzionamento.

Per ulteriori informazioni, cliccare sul tipo di registrazione appropriato.

MSI

1. Accedere all'endpoint interessato.
2. Cliccare con il pulsante destro del mouse sul menu Start di Windows, quindi scegliere Esegui.

3. Nell'interfaccia utente di Esegui digitare:
   • Se installato dall'utente: %LOCALAPPDATA%\Temp e cliccare su OK.
   • Se installato tramite aggiornamento automatico: %SYSTEMROOT%\Temp e cliccare su OK.

4. Raccogli:
   • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
   • CrowdStrike Window Sensor_[TIMESTAMP].log

Prodotto

Si consiglia di abilitare la modalità dettagliata e quindi riprodurre il problema prima dell'acquisizione dei registri del prodotto. Una volta risolto il problema, si consiglia di disabilitare la modalità dettagliata. Per maggiori informazioni, cliccare sulla procedura appropriata.

Abilitare

1. Accedere all'endpoint interessato.
2. Cliccare con il pulsante destro del mouse sul menu Start di Windows, quindi scegliere Esegui.

3. Nell'interfaccia utente Esegui (UI), digitare regedit quindi premere CTRL+MAIUSC+INVIO per eseguire l'Editor del Registro di sistema come amministratore.

4. Se la funzionalità Controllo dell'account utente è abilitata, cliccare su Sì. Altrimenti, andare al passaggio 5.

5. Vai a [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

6. Fare doppio clic su AFLAGS.

7. Premere CANC, digitare 03, quindi fare clic su OK.

8. Cliccare su File, quindi selezionare Esci.

Acquisizione

1. Accedere all'endpoint interessato.
2. Cliccare con il pulsante destro del mouse sul menu Start di Windows, quindi scegliere Esegui.

3. Nell'interfaccia utente Esegui (UI), digitare eventvwr e cliccare su OK.

4. Nel Visualizzatore eventi espandere Registri di Windows, quindi cliccare su Sistema.

5. Cliccare con il pulsante destro del mouse sul registro Sistema, quindi selezionare Filtro registro corrente.

6. Impostare Source su CSAgent.

7. Cliccare con il pulsante destro del mouse sul registro Sistema, quindi selezionare Salva file di registro filtrato con nome.

8. Modificare Nome file in CrowdStrike_[WORKSTATIONNAME].evtx e cliccare su Salva.

Disabilitare

1. Accedere all'endpoint interessato.
2. Cliccare con il pulsante destro del mouse sul menu Start di Windows, quindi scegliere Esegui.

3. Nell'interfaccia utente Esegui (UI), digitare regedit quindi premere CTRL+MAIUSC+INVIO per eseguire l'Editor del Registro di sistema come amministratore.

4. Se la funzionalità Controllo dell'account utente è abilitata, cliccare su Sì. Altrimenti, andare al passaggio 5.

5. Accedere al [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

6. Premere CANC, digitare 0, quindi fare clic su OK.

7. Cliccare su File, quindi selezionare Esci.

Per la risoluzione dei problemi di CrowdStrike Falcon Sensor su Mac, è possibile raccogliere i seguenti registri:

• Registri di installazione : utilizzati per la risoluzione dei problemi di installazione.
• Registri del prodotto : utilizzati per la risoluzione di problemi di attivazione, comunicazione e funzionamento.

Per ulteriori informazioni, cliccare sul tipo di registro appropriato.

Installazione

CrowdStrike Falcon Sensor utilizza il file install.log nativo per documentare le informazioni di installazione.

1. Nel menu Apple, cliccare su Vai, quindi selezionare Vai alla cartella.

2. Digitare /var/log quindi fare clic su Vai.

3. Copia Install.log in un luogo prontamente disponibile per ulteriori indagini.

Prodotto

Si consiglia di abilitare la modalità dettagliata e quindi riprodurre il problema prima dell'acquisizione dei registri del prodotto. Una volta risolto il problema, si consiglia di disabilitare la modalità dettagliata. Per maggiori informazioni, cliccare sulla procedura appropriata.

Abilitare

1. Accedere all'endpoint interessato.
2. Nel menu Apple, cliccare su Vai, quindi selezionare Utility.

3. Cliccare due volte su Terminale.

4. In Terminale digitare sudo sysctl cs.feature=3 e premere INVIO.
5. Inserire la password per sudo, quindi premere Invio.

6. Confirm cs.feature=3.

Acquisizione

1. Accedere all'endpoint interessato.
2. Nel menu Apple, cliccare su Vai, quindi selezionare Utility.

3. Cliccare due volte su Terminale.

4. In Terminale digitare sudo /Library/CS/falconctl diagnose e premere INVIO.
5. Inserire la password per sudo, quindi premere Invio.

6. Dopo alcuni minuti, falconctl_diagnose.tgz saranno generati in /private/tmp.

Disabilitare

1. Accedere all'endpoint interessato.
2. Nel menu Apple, cliccare su Vai, quindi selezionare Utility.

3. Cliccare due volte su Terminale.

4. In Terminale digitare sudo sysctl cs.feature=0 e premere INVIO.
5. Inserire la password per sudo, quindi premere Invio.

6. Confirm cs.feature=0.

1. Accedere all'endpoint interessato.
2. Aprire il Terminale in Linux.

3. In Terminale digitare su root e premere INVIO.
4. Inserire la password per sudo, quindi premere Invio.

5. Digitare sudo mkdir /tmp/CrowdStrike e premere INVIO.

6. Digitare sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt e premere INVIO.
7. Digitare sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt e premere INVIO.
8. Digitare sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt e premere INVIO.
9. Digitare sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt e premere INVIO.

10. Acquisisci tutti i file di output all'interno /tmp/CrowdStrike (Passaggio 5) utilizzando SSH.