跳至主要內容
登出

歡迎來到 Dell

我的帳戶
  • 簡單快速地下訂單
  • 檢視訂單及追蹤商品運送狀態
  • 建立並存取您的產品清單
  • 使用「公司管理」來管理您的 Dell EMC 網站、產品和產品層級連絡人。
登入 建立帳戶 Premier 登入 合作夥伴計畫登入
與我們連絡

您的 Dell.com 購物車

文章編號: 000178209

Como coletar logs do sensor CrowdStrike Falcon

摘要: Saiba como coletar registros do sensor CrowdStrike Falcon para solução de problemas. Guias passo a passo estão disponíveis para Windows, Mac e Linux.

本文可能採用自動翻譯。如果您對翻譯品質有任何寶貴意見,請使用此頁面底部的表單告訴我們,謝謝。

文章內容

症狀

Este artigo discute os métodos para coletar registros para o sensor CrowdStrike Falcon.

Produtos afetados:

  • Sensor CrowdStrike Falcon

Sistemas operacionais afetados:

  • Windows
  • Mac
  • Linux

原因

Não aplicável

解析度

É altamente recomendável coletar registros antes de solucionar problemas do sensor CrowdStrike Falcon ou entrar em contato com o suporte da Dell.

Nota: Para obter mais informações sobre como entrar em contato com o Suporte Dell, consulte os Números de telefone do suporte internacional do Dell Data Security.

Clique em Windows, Mac ou Linux para obter informações relevantes de registro.

Um usuário pode solucionar problemas do sensor CrowdStrike Falcon no Windows coletando registros manualmente para:

  • Registros MSI : Usado para solucionar problemas de instalação.
  • Registros do produto: Usado para solucionar problemas de ativação, comunicação e comportamento.

Clique no tipo apropriado de log para obter mais informações.

MSI

  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (IU) Executar, digite:
    • Se a instalação tiver sido feita pelo usuário: %LOCALAPPDATA%\Temp e, em seguida, clique em OK.
    • Se a instalação tiver sido feita pela atualização automática: %SYSTEMROOT%\Temp e, em seguida, clique em OK.

IU Executar

  1. Colete:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

A imagem mostra exemplos de arquivos de log.

Nota:
  • [TIMESTAMP] = Data e hora da instalação
  • [BIT] = Representa o Agent32 ou o Agent64

Produto

É recomendável habilitar o detalhamento e, em seguida, reproduzir o problema antes da captura dos registros do produto. Depois que o problema for resolvido, é recomendável desativar o detalhamento. Clique no processo adequado para obter mais informações.

Ativar
Advertência:
  • A Dell Technologies recomenda habilitar o detalhamento somente ao solucionar um problema.
  • A Dell Technologies recomenda desativar o detalhamento depois que o problema for resolvido.
  • Os endpoints podem sofrer degradação do desempenho enquanto o detalhamento é ativado.
  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (UI) Executar, digite regedit e, em seguida, pressione CTRL+SHIFT+ENTER para executar o Editor do Registro como administrador.

IU Executar

  1. Se a opção UAC (User Account Control, controle da conta de usuário) estiver ativada, clique em Yes. Caso contrário, avance para a etapa 5.

Prompt de controle da conta de usuário

  1. Ir para [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registro

  1. Clique duas vezes AFLAGS.

AFLAGS no registro

  1. Pressione Delete, digite 03e, em seguida, clique em OK.

Editar tela Valor binário

  1. Clique em File (Arquivo) e, depois, em Exit (Sair).

Como sair do Editor do Registro

Nota: Depois que o log for ativado, reproduza o problema.
Captura
  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (UI) Executar, digite eventvwr e, em seguida, clique em OK.

IU Executar

  1. No Visualizador de Eventos, expanda Logs do Windows e clique em Sistema.

Registros e sistema do Windows

  1. Clique com o botão direito no log do sistema e selecione Filtrar Log Atual.

Filtrar registro atual

  1. Defina a origem como CSAgent.

Configurando a origem do evento como CSAgent

  1. Clique com o botão direito do mouse no log do sistema e selecione Salvar Arquivo de Log Filtrado Como.

Salvar arquivo de log filtrado como

  1. Alterar nome do arquivo para CrowdStrike_[WORKSTATIONNAME].evtx e, em seguida, clique em Salvar.

Alterando o nome do arquivo e salvando

Nota: A Dell Technologies recomenda especificar o [WORKSTATIONNAME] caso o problema esteja acontecendo em vários endpoints.
Desativar
  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (UI) Executar, digite regedit e, em seguida, pressione CTRL+SHIFT+ENTER para executar o Editor do Registro como administrador.

IU Executar

  1. Se a opção UAC (User Account Control, controle da conta de usuário) estiver ativada, clique em Yes. Caso contrário, avance para a etapa 5.

Prompt de controle da conta de usuário

  1. Acesse a página [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registro

  1. Pressione Delete, digite 0e, em seguida, clique em OK.

Editar valor binário

  1. Clique em File (Arquivo) e, depois, em Exit (Sair).

Como sair do registro

Um usuário pode solucionar problemas do sensor CrowdStrike Falcon no Mac coletando:

  • Registros de instalação: Usado para solucionar problemas de instalação.
  • Registros do produto: Usado para solucionar problemas de ativação, comunicação e comportamento.

Clique no tipo apropriado de log para obter mais informações.

Instalação

O sensor CrowdStrike Falcon usa o install.log nativo para documentar as informações de instalação.

  1. No menu Apple, clique em Go (Ir) e, em seguida, selecione Go to Folder (Ir para pasta).

Vá para a pasta

  1. Digite /var/log e, em seguida, clique em Go.

Vá para a interface do usuário da pasta

  1. Copiar Install.log para um local prontamente disponível para investigação mais detalhada.

install.log

Nota: A Dell Technologies recomenda pesquisar por "CrowdStrike" para garantir que as informações são relevantes para a CrowdStrike.

Produto

É recomendável habilitar o detalhamento e, em seguida, reproduzir o problema antes da captura dos registros do produto. Depois que o problema for resolvido, é recomendável desativar o detalhamento. Clique no processo adequado para obter mais informações.

Ativar
Advertência:
  • A Dell Technologies recomenda habilitar o detalhamento somente ao solucionar um problema.
  • A Dell Technologies recomenda desativar o detalhamento depois que o problema for resolvido.
  • Os endpoints podem sofrer degradação do desempenho enquanto o detalhamento é ativado.
  1. Faça login no endpoint afetado.
  2. No menu Apple, clique em Go e, em seguida, selecione Utilities.

Utilitários

  1. Clique duas vezes em Terminal.

Terminal

  1. Em Terminal, digite sudo sysctl cs.feature=3 e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Confirm cs.feature=3.

Interface do usuário do terminal

Nota: Depois que o log for ativado, reproduza o problema.
Captura
  1. Faça log-in no endpoint afetado.
  2. No menu Apple, clique em Go e, em seguida, selecione Utilities.

Utilitários

  1. Clique duas vezes em Terminal.

Terminal

  1. Em Terminal, digite sudo /Library/CS/falconctl diagnose e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Após alguns minutos, falconctl_diagnose.tgz serão gerados em /private/tmp.
Desativar
  1. Faça login no endpoint afetado.
  2. No menu Apple, clique em Go e, em seguida, selecione Utilities.

Utilitários

  1. Clique duas vezes em Terminal.

Terminal

  1. Em Terminal, digite sudo sysctl cs.feature=0 e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Confirm cs.feature=0.

Interface do usuário do terminal

  1. Faça login no endpoint afetado.
  2. Abra o Terminal do Linux.

Terminal

Nota: O layout da IU (interface do usuário) pode ser diferente entre as distribuições Linux.
  1. Em Terminal, digite su root e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Digite sudo mkdir /tmp/CrowdStrike e pressione Enter.

Diretório de tomada de terminal

Nota: O exemplo /tmp/CrowdStrike O diretório pode ser modificado em seu ambiente.
  1. Digite sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt e pressione Enter.
  2. Digite sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt e pressione Enter.
  3. Digite sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt e pressione Enter.
  4. Digite sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt e pressione Enter.

Interface do usuário do terminal

Nota: As distribuições Linux podem não ter todos os diretórios listados.
  1. Capturar todos os arquivos de saída no /tmp/CrowdStrike (Etapa 5) usando SSH.

Resultado da captura de terminal

Nota:
  • Por padrão, o SSH é desativado nas distribuições do Linux.
  • Assim que o SSH for ativado, um software de terceiro (como o PuTTY) poderá ser usado para a conexão ao endpoint Linux.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

其他資訊

 

影片

 

文章屬性

受影響的產品

CrowdStrike

上次發佈日期

01 2月 2024

版本

17

文章類型

Solution

返回頁首