Samla in CrowdStrike Falcon Sensor-loggar

En användare kan felsöka CrowdStrike Falcon-sensorn i Windows genom att manuellt samla in loggar för:

• MSI-loggar : Används för att felsöka installationsproblem.
• Produktloggar : Används för att felsöka aktiverings-, kommunikations- och beteendeproblem.

Klicka på loggtyperna nedan om du vill ha mer information om dem.

MSI

1. Logga in på den berörda slutpunkten.
2. Högerklicka på Windows startmeny och välj Kör.

3. I Kör användargränssnitt (UI) skriver du antingen:
   • Om den installerats av användaren: %LOCALAPPDATA%\Temp och klicka sedan på OK.
   • Om det installeras genom automatisk uppdatering: %SYSTEMROOT%\Temp och klicka sedan på OK.

4. Samla in:
   • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
   • CrowdStrike Window Sensor_[TIMESTAMP].log

Produkt

Vi rekommenderar att du aktiverar utförlighet och sedan återskapar problemet innan produktloggarna samlas in . När problemet är löst rekommenderar vi att du inaktiverar utförlighet. Klicka på avsnitten nedan för mer information.

Aktivera

1. Logga in på den berörda slutpunkten.
2. Högerklicka på Windows startmeny och välj Kör.

3. I Kör användargränssnitt (UI) skriver du regedit och tryck sedan på CTRL+SKIFT+RETUR för att köra Registereditorn som administratör.

4. Klicka på Ja om UAC (kontroll av användarkonto) är aktiverat. Annars går du till steg 5.

5. Gå till [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

6. Dubbelklicka AFLAGS.

7. Tryck på Delete, skriv 03och klicka sedan på OK.

8. Klicka på Arkiv och välj sedan Avsluta.

Samla in

1. Logga in på den berörda slutpunkten.
2. Högerklicka på Windows startmeny och välj Kör.

3. I Kör användargränssnitt (UI) skriver du eventvwr och klicka sedan på OK.

4. I Loggboken expanderar du Windows-loggar och klickar sedan på System.

5. Högerklicka på systemloggen och välj sedan Filtrera aktuell logg.

6. Ställ in Källa på CSAgent.

7. Högerklicka på systemloggen och välj sedan Spara filtrerad loggfil som.

8. Ändra filnamnet till CrowdStrike_[WORKSTATIONNAME].evtx och klicka sedan på Spara.

Avaktivera

1. Logga in på den berörda slutpunkten.
2. Högerklicka på Windows startmeny och välj Kör.

3. I Kör användargränssnitt (UI) skriver du regedit och tryck sedan på CTRL+SKIFT+RETUR för att köra Registereditorn som administratör.

4. Klicka på Ja om UAC (kontroll av användarkonto) är aktiverat. Annars fortsätter du till steg 5.

5. Gå till [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

6. Tryck på Delete, skriv 0och klicka sedan på OK.

7. Klicka på Arkiv och välj sedan Avsluta.

En användare kan felsöka CrowdStrike Falcon-sensorn på Mac genom att samla in:

• Installera loggar: Används för att felsöka installationsproblem.
• Produktloggar : Används för att felsöka aktiverings-, kommunikations- och beteendeproblem.

Klicka på lämplig loggtyp om du vill ha mer information.

Installera

CrowdStrike Falcon Sensor använder den interna install.log för att dokumentera installationsinformation.

1. Klicka på Gå i Apple-menyn och välj sedan Gå till mappen.

2. Typ /var/log och klicka sedan på Gå.

3. Kopiera Install.log till en lättillgänglig plats för vidare undersökning.

Produkt

Vi rekommenderar att du aktiverar utförlighet och sedan återskapar problemet innan produktloggarna samlas in . När problemet är löst rekommenderar vi att du inaktiverar utförlighet. Klicka på avsnitten nedan för mer information.

Aktivera

1. Logga in på den berörda slutpunkten.
2. Klicka på Gå i Apple-menyn och välj sedan Verktyg.

3. Dubbelklicka på Terminal.

4. I Terminal skriver du sudo sysctl cs.feature=3 och tryck sedan på Enter.
5. Ange lösenordet för sudooch tryck sedan på Retur.

6. Bekräfta cs.feature=3.

Samla in

1. Logga in på den berörda slutpunkten.
2. Klicka på Gå i Apple-menyn och välj sedan Verktyg.

3. Dubbelklicka på Terminal.

4. I Terminal skriver du sudo /Library/CS/falconctl diagnose och tryck sedan på Enter.
5. Ange lösenordet för sudooch tryck sedan på Retur.

6. Efter flera minuter, falconctl_diagnose.tgz kommer att genereras i /private/tmp.

Avaktivera

1. Logga in på den berörda slutpunkten.
2. Klicka på Gå i Apple-menyn och välj sedan Verktyg.

3. Dubbelklicka på Terminal.

4. I Terminal skriver du sudo sysctl cs.feature=0 och tryck sedan på Enter.
5. Ange lösenordet för sudooch tryck sedan på Retur.

6. Bekräfta cs.feature=0.

1. Logga in på den berörda slutpunkten.
2. Öppna Linux Terminal.

3. I Terminal skriver du su root och tryck sedan på Enter.
4. Ange lösenordet för sudooch tryck sedan på Retur.

5. Typ sudo mkdir /tmp/CrowdStrike och tryck sedan på Enter.

6. Typ sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt och tryck sedan på Enter.
7. Typ sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt och tryck sedan på Enter.
8. Typ sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt och tryck sedan på Enter.
9. Typ sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt och tryck sedan på Enter.

10. Samla in alla utdatafiler i /tmp/CrowdStrike (Steg 5) med SSH.