CrowdStrike Falcon Sensor 로그를 수집하는 방법

사용자는 다음에 대한 로그를 수동으로 수집하여 Windows에서 CrowdStrike Falcon Sensor의 문제를 해결할 수 있습니다.

• MSI 로그: 설치 문제를 해결하는 데 사용됩니다.
• 제품 로그: 활성화, 통신 및 동작 문제를 해결하는 데 사용됩니다.

자세한 내용을 확인하려면 해당 로깅 유형을 클릭하십시오.

MSI

1. 영향을 받는 엔드포인트에 로그인합니다.
2. Windows 시작 메뉴를 마우스 오른쪽 버튼으로 클릭한 다음 Run을 선택합니다.

3. 실행 UI(User Interface)에 다음 중 하나를 입력합니다.
   • 사용자가 설치한 경우: %LOCALAPPDATA%\Temp 을 클릭한 다음 OK를 클릭합니다.
   • 자동 업데이트로 설치한 경우: %SYSTEMROOT%\Temp 을 클릭한 다음 OK를 클릭합니다.

4. 수집:
   • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
   • CrowdStrike Window Sensor_[TIMESTAMP].log

제품

제품 로그를 캡처하기 전에 세부 정보 표시를 활성화한 다음 문제를 재현하는 것이 좋습니다. 문제가 해결되면 세부 정보 표시를 비활성화 하는 것이 좋습니다. 자세한 내용을 확인하려면 해당 프로세스를 클릭하십시오.

활성화

1. 영향을 받는 엔드포인트에 로그인합니다.
2. Windows 시작 메뉴를 마우스 오른쪽 버튼으로 클릭한 다음 Run을 선택합니다.

3. 실행 UI(User Interface)에 다음을 입력합니다. regedit 그런 다음 CTRL+SHIFT+ENTER를 눌러 관리자 권한으로 레지스트리 편집기를 실행합니다.

4. UAC(User Account Control)가 활성화된 경우 Yes를 클릭합니다. 그렇지 않으면 5단계를 진행합니다.

5. 로 가다 [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]와 함께 사용할 수 없습니다.

6. 두 번 클릭 AFLAGS와 함께 사용할 수 없습니다.

7. Delete 키를 누르고 다음을 입력합니다. 03를 클릭한 다음 확인을 클릭합니다.

8. File을 클릭하고 Exit을 선택합니다.

캡처

1. 영향을 받는 엔드포인트에 로그인합니다.
2. Windows 시작 메뉴를 마우스 오른쪽 버튼으로 클릭한 다음 Run을 선택합니다.

3. 실행 UI(User Interface)에 다음을 입력합니다. eventvwr 을 클릭한 다음 OK를 클릭합니다.

4. 이벤트 뷰어에서 Windows 로그를 확장한 다음 System을 클릭합니다.

5. 시스템 로그를 마우스 오른쪽 버튼으로 클릭한 다음 Filter Current Log를 선택합니다.

6. Source를 다음으로 설정합니다. CSAgent와 함께 사용할 수 없습니다.

7. 시스템 로그를 마우스 오른쪽 버튼으로 클릭한 다음 Save Filtered Log File As를 선택합니다.

8. 파일 이름을 다음으로 변경합니다. CrowdStrike_[WORKSTATIONNAME].evtx 을 클릭한 다음 저장을 클릭합니다.

비활성화

1. 영향을 받는 엔드포인트에 로그인합니다.
2. Windows 시작 메뉴를 마우스 오른쪽 버튼으로 클릭한 다음 Run을 선택합니다.

3. 실행 UI(User Interface)에 다음을 입력합니다. regedit 그런 다음 CTRL+SHIFT+ENTER를 눌러 관리자 권한으로 레지스트리 편집기를 실행합니다.

4. UAC(User Account Control)가 활성화된 경우 Yes를 클릭합니다. 그렇지 않으면 5단계를 진행합니다.

5. 다음 사이트로 이동합니다. [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]와 함께 사용할 수 없습니다.

6. Delete 키를 누르고 다음을 입력합니다. 0를 클릭한 다음 확인을 클릭합니다.

7. File을 클릭하고 Exit을 선택합니다.

사용자는 다음을 수집하여 Mac에서 CrowdStrike Falcon Sensor의 문제를 해결할 수 있습니다.

• 설치 로그: 설치 문제를 해결하는 데 사용됩니다.
• 제품 로그: 활성화, 통신 및 동작 문제를 해결하는 데 사용됩니다.

자세한 내용을 확인하려면 해당 로그 유형을 클릭하십시오.

설치

CrowdStrike Falcon Sensor는 기본 install.log를 사용하여 설치 정보를 문서화합니다.

1. Apple 메뉴에서 이동을 클릭한 다음 Go to Folder를 선택합니다.

2. 다음을 입력합니다. /var/log 을 클릭한 다음 이동을 클릭합니다.

3. 복사 Install.log 추가 조사를 위해 쉽게 사용할 수 있는 위치로 이동합니다.

제품

제품 로그를 캡처하기 전에 세부 정보 표시를 활성화한 다음 문제를 재현하는 것이 좋습니다. 문제가 해결되면 세부 정보 표시를 비활성화 하는 것이 좋습니다. 자세한 내용을 확인하려면 해당 프로세스를 클릭하십시오.

활성화

1. 영향을 받는 엔드포인트에 로그인합니다.
2. Apple 메뉴에서 Go를 클릭한 다음 Utilities를 선택합니다.

3. Terminal을 두 번 클릭합니다.

4. Terminal에서 sudo sysctl cs.feature=3 를 입력한 다음 키를 누릅니다.
5. 다음에 대한 암호를 입력합니다. sudo를 입력한 다음 Enter 키를 누릅니다.

6. 확인 cs.feature=3와 함께 사용할 수 없습니다.

캡처

1. 영향을 받는 엔드포인트에 로그인합니다.
2. Apple 메뉴에서 Go를 클릭한 다음 Utilities를 선택합니다.

3. Terminal을 두 번 클릭합니다.

4. Terminal에서 sudo /Library/CS/falconctl diagnose 를 입력한 다음 키를 누릅니다.
5. 다음에 대한 암호를 입력합니다. sudo를 입력한 다음 Enter 키를 누릅니다.

6. 몇 분 후, falconctl_diagnose.tgz 에서 생성됩니다. /private/tmp와 함께 사용할 수 없습니다.

비활성화

1. 영향을 받는 엔드포인트에 로그인합니다.
2. Apple 메뉴에서 Go를 클릭한 다음 Utilities를 선택합니다.

3. Terminal을 두 번 클릭합니다.

4. Terminal에서 sudo sysctl cs.feature=0 를 입력한 다음 키를 누릅니다.
5. 다음에 대한 암호를 입력합니다. sudo를 입력한 다음 Enter 키를 누릅니다.

6. 확인 cs.feature=0와 함께 사용할 수 없습니다.

1. 영향을 받는 엔드포인트에 로그인합니다.
2. Linux의 Terminal을 엽니다.

3. Terminal에서 su root 를 입력한 다음 키를 누릅니다.
4. 다음에 대한 암호를 입력합니다. sudo를 입력한 다음 Enter 키를 누릅니다.

5. 다음을 입력합니다. sudo mkdir /tmp/CrowdStrike 를 입력한 다음 키를 누릅니다.

6. 다음을 입력합니다. sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt 를 입력한 다음 키를 누릅니다.
7. 다음을 입력합니다. sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt 를 입력한 다음 키를 누릅니다.
8. 다음을 입력합니다. sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt 를 입력한 다음 키를 누릅니다.
9. 다음을 입력합니다. sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt 를 입력한 다음 키를 누릅니다.

10. 내의 모든 출력 파일 캡처 /tmp/CrowdStrike (5단계) SSH를 사용합니다.