跳至主要內容
登出

歡迎來到 Dell

我的帳戶
  • 簡單快速地下訂單
  • 檢視訂單及追蹤商品運送狀態
  • 建立並存取您的產品清單
  • 使用「公司管理」來管理您的 Dell EMC 網站、產品和產品層級連絡人。
登入 建立帳戶 Premier 登入 合作夥伴計畫登入
與我們連絡

您的 Dell.com 購物車

文章編號: 000178209

Як збирати журнали датчиків CrowdStrike Falcon

摘要: Дізнайтеся, як збирати логи CrowdStrike Falcon Sensor для усунення несправностей. Покрокові інструкції доступні для Windows, Mac і Linux.

本文可能採用自動翻譯。如果您對翻譯品質有任何寶貴意見,請使用此頁面底部的表單告訴我們,謝謝。

文章內容

症狀

У цій статті розглядаються методи збору логів для CrowdStrike Falcon Sensor.

Продукти, на які впливають:

  • Датчик CrowdStrike Falcon

Операційні системи, яких це стосується:

  • Вікна
  • Комп'ютер Mac
  • Лінукс

原因

Не застосовується

解析度

Настійно рекомендується збирати журнали, перш ніж усувати неполадки CrowdStrike Falcon Sensor або звертатися до служби підтримки Dell.

Примітка: Для отримання додаткової інформації про звернення до служби підтримки Dell зверніться до номерів телефонів міжнародної служби підтримки Dell Data Security.

Виберіть пункт Windows, Mac або Linux , щоб переглянути відповідну інформацію для журналювання.

Користувач може усунути неполадки CrowdStrike Falcon Sensor у Windows, вручну зібравши журнали для:

  • Журнали MSI : Використовується для усунення проблем зі встановленням.
  • Журнали продукції : Використовується для усунення проблем з активацією, зв'язком і поведінкою.

Виберіть відповідний тип журналу, щоб дізнатися більше.

MSI

  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Виконати інтерфейс користувача (UI) введіть одну з таких команд:
    • Якщо встановлено користувачем: %LOCALAPPDATA%\Temp і натисніть кнопку ОК.
    • Якщо встановлено за допомогою автоматичного оновлення: %SYSTEMROOT%\Temp і натисніть кнопку ОК.

Запустити інтерфейс користувача

  1. Зберіть:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

На зображенні зображені приклади файлів журналу.

Примітка:
  • [TIMESTAMP] = Дата і час встановлення
  • [BIT] = Представляє або Agent32, або Agent64

Продукт

Рекомендується Увімкнути детальність, а потім відтворити проблему перед записом журналів продуктів . Після того, як проблему буде вирішено, рекомендується вимкнути детальність. Натисніть відповідну процедуру, щоб дізнатися більше.

Вмикати
Попередження:
  • Dell Technologies рекомендує вмикати детальність лише під час усунення неполадок.
  • Dell Technologies рекомендує вимкнути детальність після вирішення проблеми.
  • Кінцеві точки можуть знижувати продуктивність, коли ввімкнено детальність.
  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Запустити інтерфейс користувача (UI) введіть regedit і натисніть сполучення клавіш CTRL+SHIFT+ENTER, щоб запустити редактор реєстру від імені адміністратора.

Запустити інтерфейс користувача

  1. Якщо службу захисту користувачів (UAC) увімкнуто, натисніть кнопку Так. В іншому випадку перейдіть до кроку 5.

Запит служби захисту користувачів

  1. Іти до [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Реєстру

  1. Подвійне клацання AFLAGS.

AFLAGS у реєстрі

  1. Натисніть Delete, введіть 03, а потім натисніть кнопку ОК.

Редагувати екран двійкових значень

  1. Натисніть кнопку Файл, а потім виберіть Вийти.

Вихід з редактора реєстру

Примітка: Увімкнувши ведення журналу, відтворіть проблему.
Захоплення
  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Запустити інтерфейс користувача (UI) введіть eventvwr і натисніть кнопку ОК.

Запустити інтерфейс користувача

  1. У вікні «Перегляд подій» розгорніть розділ «Журнали Windows » і виберіть пункт «Система».

Журнали Windows і система

  1. Клацніть правою кнопкою миші системний журнал і виберіть команду Фільтрувати поточний журнал.

Фільтрувати поточний журнал

  1. Встановіть для параметра Джерело значення CSAgent.

Встановлення джерела події на CSAgent

  1. Клацніть правою кнопкою миші системний журнал і виберіть пункт Зберегти відфільтрований файл журналу як.

Збережіть відфільтрований файл журналу як

  1. Змініть ім'я файлу на CrowdStrike_[WORKSTATIONNAME].evtx , а потім натисніть кнопку Зберегти.

Зміна імені файлу та збереження

Примітка: Dell Technologies рекомендує вказувати [WORKSTATIONNAME] у випадку, якщо проблема виникає на кількох кінцевих точках.
Вимкнути
  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Запустити інтерфейс користувача (UI) введіть regedit і натисніть сполучення клавіш CTRL+SHIFT+ENTER, щоб запустити редактор реєстру від імені адміністратора.

Запустити інтерфейс користувача

  1. Якщо службу захисту користувачів (UAC) увімкнуто, натисніть кнопку Так. В іншому випадку перейдіть до кроку 5.

Запит служби захисту користувачів

  1. Іти до [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Реєстру

  1. Натисніть Delete, введіть 0, а потім натисніть кнопку ОК.

Редагувати двійкове значення

  1. Натисніть кнопку Файл, а потім виберіть Вийти.

Вихід з реєстру

Користувач може усунути неполадки CrowdStrike Falcon Sensor на Mac, зібравши:

Клацніть відповідний тип журналу, щоб отримати додаткові відомості.

Інсталювати

CrowdStrike Falcon Sensor використовує вбудовану інсталяцію.log для документування інформації про встановлення.

  1. У меню Apple натисніть «Перейти», а потім виберіть «Перейти до папки».

Перейти до папки

  1. Тип /var/log , а потім натисніть кнопку Перейти.

Перейдіть до інтерфейсу папки

  1. Копіювати Install.log до легкодоступного місця для подальшого дослідження.

встановити.log

Примітка: Dell Technologies рекомендує шукати "CrowdStrike", щоб переконатися, що інформація релевантна CrowdStrike.

Продукт

Рекомендується Увімкнути детальність, а потім відтворити проблему перед записом журналів продуктів . Після того, як проблему буде вирішено, рекомендується вимкнути детальність. Натисніть відповідну процедуру, щоб дізнатися більше.

Вмикати
Попередження:
  • Dell Technologies рекомендує вмикати детальність лише під час усунення неполадок.
  • Dell Technologies рекомендує вимкнути детальність після вирішення проблеми.
  • Кінцеві точки можуть знижувати продуктивність, коли ввімкнено детальність.
  1. Увійдіть до відповідної кінцевої точки.
  2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

Утиліти

  1. Двічі клацніть пункт Термінал.

Термінал

  1. У Терміналі введіть sudo sysctl cs.feature=3 , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Підтвердити cs.feature=3.

Інтерфейс терміналу

Примітка: Увімкнувши ведення журналу, відтворіть проблему.
Захоплення
  1. Увійдіть до відповідної кінцевої точки.
  2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

Утиліти

  1. Двічі клацніть пункт Термінал.

Термінал

  1. У Терміналі введіть sudo /Library/CS/falconctl diagnose , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Через кілька хвилин, falconctl_diagnose.tgz буде згенеровано в /private/tmp.
Вимкнути
  1. Увійдіть до відповідної кінцевої точки.
  2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

Утиліти

  1. Двічі клацніть пункт Термінал.

Термінал

  1. У Терміналі введіть sudo sysctl cs.feature=0 , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Підтвердити cs.feature=0.

Інтерфейс терміналу

  1. Увійдіть до відповідної кінцевої точки.
  2. Відкрийте термінал Linux.

Термінал

Примітка: Компонування інтерфейсу користувача (UI) може відрізнятися у різних дистрибутивах Linux.
  1. У Терміналі введіть su root , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Тип sudo mkdir /tmp/CrowdStrike , а потім натисніть клавішу Enter.

Каталог створення терміналів

Примітка: Приклад /tmp/CrowdStrike каталог може бути змінений у вашому середовищі.
  1. Тип sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt , а потім натисніть клавішу Enter.
  2. Тип sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt , а потім натисніть клавішу Enter.
  3. Тип sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt , а потім натисніть клавішу Enter.
  4. Тип sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt , а потім натисніть клавішу Enter.

Інтерфейс терміналу

Примітка: Дистрибутиви Linux можуть мати не всі каталоги зі списку.
  1. Захоплюйте всі вихідні файли всередині /tmp/CrowdStrike (Крок 5) за допомогою SSH.

Вихід захоплення терміналу

Примітка:
  • Типово, SSH вимкнено у дистрибутивах Linux.
  • Після ввімкнення SSH для підключення до кінцевої точки Linux можна використовувати стороннє програмне забезпечення (наприклад, PuTTY).

Щоб зв'язатися зі службою підтримки, зверніться за номерами телефонів міжнародної служби підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову інформацію та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.

文章屬性

受影響的產品

CrowdStrike

上次發佈日期

01 2月 2024

版本

17

文章類型

Solution

返回頁首