跳转至主要内容
退出

欢迎访问戴尔

我的帐户
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表
登录 创建帐户 登录Premier 合作伙伴计划登录
联系我们

您的 Dell.com 购物车

Як збирати журнали датчиків CrowdStrike Falcon

摘要: Дізнайтеся, як збирати логи CrowdStrike Falcon Sensor для усунення несправностей. Покрокові інструкції доступні для Windows, Mac і Linux.

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

У цій статті розглядаються методи збору логів для CrowdStrike Falcon Sensor.

Продукти, на які впливають:

  • Датчик CrowdStrike Falcon

Операційні системи, яких це стосується:

  • Вікна
  • Комп'ютер Mac
  • Лінукс

原因

Не застосовується

解决方案

Настійно рекомендується збирати журнали, перш ніж усувати неполадки CrowdStrike Falcon Sensor або звертатися до служби підтримки Dell.

Примітка: Для отримання додаткової інформації про звернення до служби підтримки Dell зверніться до номерів телефонів міжнародної служби підтримки Dell Data Security.

Виберіть пункт Windows, Mac або Linux , щоб переглянути відповідну інформацію для журналювання.

Користувач може усунути неполадки CrowdStrike Falcon Sensor у Windows, вручну зібравши журнали для:

  • Журнали MSI : Використовується для усунення проблем зі встановленням.
  • Журнали продукції : Використовується для усунення проблем з активацією, зв'язком і поведінкою.

Виберіть відповідний тип журналу, щоб дізнатися більше.

MSI

  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Виконати інтерфейс користувача (UI) введіть одну з таких команд:
    • Якщо встановлено користувачем: %LOCALAPPDATA%\Temp і натисніть кнопку ОК.
    • Якщо встановлено за допомогою автоматичного оновлення: %SYSTEMROOT%\Temp і натисніть кнопку ОК.

Запустити інтерфейс користувача

  1. Зберіть:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

На зображенні зображені приклади файлів журналу.

Примітка:
  • [TIMESTAMP] = Дата і час встановлення
  • [BIT] = Представляє або Agent32, або Agent64

Продукт

Рекомендується Увімкнути детальність, а потім відтворити проблему перед записом журналів продуктів . Після того, як проблему буде вирішено, рекомендується вимкнути детальність. Натисніть відповідну процедуру, щоб дізнатися більше.

Вмикати
Попередження:
  • Dell Technologies рекомендує вмикати детальність лише під час усунення неполадок.
  • Dell Technologies рекомендує вимкнути детальність після вирішення проблеми.
  • Кінцеві точки можуть знижувати продуктивність, коли ввімкнено детальність.
  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Запустити інтерфейс користувача (UI) введіть regedit і натисніть сполучення клавіш CTRL+SHIFT+ENTER, щоб запустити редактор реєстру від імені адміністратора.

Запустити інтерфейс користувача

  1. Якщо службу захисту користувачів (UAC) увімкнуто, натисніть кнопку Так. В іншому випадку перейдіть до кроку 5.

Запит служби захисту користувачів

  1. Іти до [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Реєстру

  1. Подвійне клацання AFLAGS.

AFLAGS у реєстрі

  1. Натисніть Delete, введіть 03, а потім натисніть кнопку ОК.

Редагувати екран двійкових значень

  1. Натисніть кнопку Файл, а потім виберіть Вийти.

Вихід з редактора реєстру

Примітка: Увімкнувши ведення журналу, відтворіть проблему.
Захоплення
  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Запустити інтерфейс користувача (UI) введіть eventvwr і натисніть кнопку ОК.

Запустити інтерфейс користувача

  1. У вікні «Перегляд подій» розгорніть розділ «Журнали Windows » і виберіть пункт «Система».

Журнали Windows і система

  1. Клацніть правою кнопкою миші системний журнал і виберіть команду Фільтрувати поточний журнал.

Фільтрувати поточний журнал

  1. Встановіть для параметра Джерело значення CSAgent.

Встановлення джерела події на CSAgent

  1. Клацніть правою кнопкою миші системний журнал і виберіть пункт Зберегти відфільтрований файл журналу як.

Збережіть відфільтрований файл журналу як

  1. Змініть ім'я файлу на CrowdStrike_[WORKSTATIONNAME].evtx , а потім натисніть кнопку Зберегти.

Зміна імені файлу та збереження

Примітка: Dell Technologies рекомендує вказувати [WORKSTATIONNAME] у випадку, якщо проблема виникає на кількох кінцевих точках.
Вимкнути
  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Запустити інтерфейс користувача (UI) введіть regedit і натисніть сполучення клавіш CTRL+SHIFT+ENTER, щоб запустити редактор реєстру від імені адміністратора.

Запустити інтерфейс користувача

  1. Якщо службу захисту користувачів (UAC) увімкнуто, натисніть кнопку Так. В іншому випадку перейдіть до кроку 5.

Запит служби захисту користувачів

  1. Іти до [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Реєстру

  1. Натисніть Delete, введіть 0, а потім натисніть кнопку ОК.

Редагувати двійкове значення

  1. Натисніть кнопку Файл, а потім виберіть Вийти.

Вихід з реєстру

Користувач може усунути неполадки CrowdStrike Falcon Sensor на Mac, зібравши:

Клацніть відповідний тип журналу, щоб отримати додаткові відомості.

Інсталювати

CrowdStrike Falcon Sensor використовує вбудовану інсталяцію.log для документування інформації про встановлення.

  1. У меню Apple натисніть «Перейти», а потім виберіть «Перейти до папки».

Перейти до папки

  1. Тип /var/log , а потім натисніть кнопку Перейти.

Перейдіть до інтерфейсу папки

  1. Копіювати Install.log до легкодоступного місця для подальшого дослідження.

встановити.log

Примітка: Dell Technologies рекомендує шукати "CrowdStrike", щоб переконатися, що інформація релевантна CrowdStrike.

Продукт

Рекомендується Увімкнути детальність, а потім відтворити проблему перед записом журналів продуктів . Після того, як проблему буде вирішено, рекомендується вимкнути детальність. Натисніть відповідну процедуру, щоб дізнатися більше.

Вмикати
Попередження:
  • Dell Technologies рекомендує вмикати детальність лише під час усунення неполадок.
  • Dell Technologies рекомендує вимкнути детальність після вирішення проблеми.
  • Кінцеві точки можуть знижувати продуктивність, коли ввімкнено детальність.
  1. Увійдіть до відповідної кінцевої точки.
  2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

Утиліти

  1. Двічі клацніть пункт Термінал.

Термінал

  1. У Терміналі введіть sudo sysctl cs.feature=3 , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Підтвердити cs.feature=3.

Інтерфейс терміналу

Примітка: Увімкнувши ведення журналу, відтворіть проблему.
Захоплення
  1. Увійдіть до відповідної кінцевої точки.
  2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

Утиліти

  1. Двічі клацніть пункт Термінал.

Термінал

  1. У Терміналі введіть sudo /Library/CS/falconctl diagnose , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Через кілька хвилин, falconctl_diagnose.tgz буде згенеровано в /private/tmp.
Вимкнути
  1. Увійдіть до відповідної кінцевої точки.
  2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

Утиліти

  1. Двічі клацніть пункт Термінал.

Термінал

  1. У Терміналі введіть sudo sysctl cs.feature=0 , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Підтвердити cs.feature=0.

Інтерфейс терміналу

  1. Увійдіть до відповідної кінцевої точки.
  2. Відкрийте термінал Linux.

Термінал

Примітка: Компонування інтерфейсу користувача (UI) може відрізнятися у різних дистрибутивах Linux.
  1. У Терміналі введіть su root , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Тип sudo mkdir /tmp/CrowdStrike , а потім натисніть клавішу Enter.

Каталог створення терміналів

Примітка: Приклад /tmp/CrowdStrike каталог може бути змінений у вашому середовищі.
  1. Тип sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt , а потім натисніть клавішу Enter.
  2. Тип sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt , а потім натисніть клавішу Enter.
  3. Тип sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt , а потім натисніть клавішу Enter.
  4. Тип sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt , а потім натисніть клавішу Enter.

Інтерфейс терміналу

Примітка: Дистрибутиви Linux можуть мати не всі каталоги зі списку.
  1. Захоплюйте всі вихідні файли всередині /tmp/CrowdStrike (Крок 5) за допомогою SSH.

Вихід захоплення терміналу

Примітка:
  • Типово, SSH вимкнено у дистрибутивах Linux.
  • Після ввімкнення SSH для підключення до кінцевої точки Linux можна використовувати стороннє програмне забезпечення (наприклад, PuTTY).

Щоб зв'язатися зі службою підтримки, зверніться за номерами телефонів міжнародної служби підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову інформацію та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.

受影响的产品

CrowdStrike
文章属性
文章编号: 000178209
文章类型: Solution
上次修改时间: 01 2月 2024
版本:  17
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。