跳至主要內容
登出

歡迎來到 Dell

我的帳戶
  • 簡單快速地下訂單
  • 檢視訂單及追蹤商品運送狀態
  • 建立並存取您的產品清單
  • 使用「公司管理」來管理您的 Dell EMC 網站、產品和產品層級連絡人。
登入 建立帳戶 Premier 登入 合作夥伴計畫登入
與我們連絡

您的 Dell.com 購物車

文章編號: 000178209

Come raccogliere i registri per CrowdStrike Falcon Sensor

摘要: Informazioni su come raccogliere i registri di CrowdStrike Falcon Sensor per la risoluzione dei problemi. Sono disponibili guide dettagliate per Windows, Mac e Linux.

本文可能採用自動翻譯。如果您對翻譯品質有任何寶貴意見,請使用此頁面底部的表單告訴我們,謝謝。

文章內容

症狀

Questo articolo descrive i metodi di raccolta dei registri per CrowdStrike Falcon Sensor.

Prodotti interessati:

  • CrowdStrike Falcon Sensor

Sistemi operativi interessati:

  • Windows
  • Mac
  • Linux

原因

Non applicabile

解析度

Si consiglia vivamente di raccogliere i registri prima di eseguire la risoluzione dei problemi di CrowdStrike Falcon Sensor o di contattare il supporto Dell.

Nota: per ulteriori informazioni su come contattare il supporto Dell, consultare Numeri di telefono internazionali del supporto di Dell Data Security.

Cliccare su Windows, Mac o Linux per informazioni di registrazione pertinenti.

Per la risoluzione dei problemi di CrowdStrike Falcon Sensor in Windows, è possibile raccogliere manualmente i seguenti registri:

  • Registri MSI : utilizzati per la risoluzione dei problemi di installazione.
  • Registri del prodotto : utilizzati per la risoluzione di problemi di attivazione, comunicazione e funzionamento.

Per ulteriori informazioni, cliccare sul tipo di registrazione appropriato.

MSI

  1. Accedere all'endpoint interessato.
  2. Cliccare con il pulsante destro del mouse sul menu Start di Windows, quindi scegliere Esegui.

Run

  1. Nell'interfaccia utente di Esegui digitare:
    • Se installato dall'utente: %LOCALAPPDATA%\Temp e cliccare su OK.
    • Se installato tramite aggiornamento automatico: %SYSTEMROOT%\Temp e cliccare su OK.

Interfaccia utente Esegui

  1. Raccogli:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

L'immagine mostra un esempio di file di registro.

Nota:
  • [TIMESTAMP] = Data e ora di installazione
  • [BIT] = rappresenta Agent32 o Agent64

Prodotto

Si consiglia di abilitare la modalità dettagliata e quindi riprodurre il problema prima dell'acquisizione dei registri del prodotto. Una volta risolto il problema, si consiglia di disabilitare la modalità dettagliata. Per maggiori informazioni, cliccare sulla procedura appropriata.

Abilitare
Avvertenza:
  • Dell Technologies consiglia di abilitare la modalità dettagliata solo durante la risoluzione di un problema.
  • Dell Technologies consiglia di disabilitare la modalità dettagliata una volta risolto il problema.
  • Quando la modalità dettagliata è abilitata, gli endpoint potrebbero registrare un calo delle prestazioni.
  1. Accedere all'endpoint interessato.
  2. Cliccare con il pulsante destro del mouse sul menu Start di Windows, quindi scegliere Esegui.

Run

  1. Nell'interfaccia utente Esegui (UI), digitare regedit quindi premere CTRL+MAIUSC+INVIO per eseguire l'Editor del Registro di sistema come amministratore.

Interfaccia utente Esegui

  1. Se la funzionalità Controllo dell'account utente è abilitata, cliccare su . Altrimenti, andare al passaggio 5.

Prompt Controllo account utente

  1. Vai a [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registro di sistema

  1. Fare doppio clic su AFLAGS.

AFLAGS nel registro

  1. Premere CANC, digitare 03, quindi fare clic su OK.

Schermata Modifica valore binario

  1. Cliccare su File, quindi selezionare Esci.

Uscita dall'Editor del Registro di sistema

Nota: dopo aver abilitato la registrazione, riprodurre il problema.
Acquisizione
  1. Accedere all'endpoint interessato.
  2. Cliccare con il pulsante destro del mouse sul menu Start di Windows, quindi scegliere Esegui.

Run

  1. Nell'interfaccia utente Esegui (UI), digitare eventvwr e cliccare su OK.

Interfaccia utente Esegui

  1. Nel Visualizzatore eventi espandere Registri di Windows, quindi cliccare su Sistema.

Registri e sistema di Windows

  1. Cliccare con il pulsante destro del mouse sul registro Sistema, quindi selezionare Filtro registro corrente.

Filtra registro corrente

  1. Impostare Source su CSAgent.

Impostazione dell'origine eventi su CSAgent

  1. Cliccare con il pulsante destro del mouse sul registro Sistema, quindi selezionare Salva file di registro filtrato con nome.

Salva file di registro filtrato con nome

  1. Modificare Nome file in CrowdStrike_[WORKSTATIONNAME].evtx e cliccare su Salva.

Modifica del nome del file e salvataggio

Nota: Dell Technologies consiglia di specificare [WORKSTATIONNAME] nel caso in cui il problema si verifichi su più endpoint.
Disabilitare
  1. Accedere all'endpoint interessato.
  2. Cliccare con il pulsante destro del mouse sul menu Start di Windows, quindi scegliere Esegui.

Run

  1. Nell'interfaccia utente Esegui (UI), digitare regedit quindi premere CTRL+MAIUSC+INVIO per eseguire l'Editor del Registro di sistema come amministratore.

Interfaccia utente Esegui

  1. Se la funzionalità Controllo dell'account utente è abilitata, cliccare su . Altrimenti, andare al passaggio 5.

Prompt Controllo account utente

  1. Accedere al [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registro di sistema

  1. Premere CANC, digitare 0, quindi fare clic su OK.

Modifica valore binario

  1. Cliccare su File, quindi selezionare Esci.

Uscita dal Registro di sistema

Per la risoluzione dei problemi di CrowdStrike Falcon Sensor su Mac, è possibile raccogliere i seguenti registri:

Per ulteriori informazioni, cliccare sul tipo di registro appropriato.

Installazione

CrowdStrike Falcon Sensor utilizza il file install.log nativo per documentare le informazioni di installazione.

  1. Nel menu Apple, cliccare su Vai, quindi selezionare Vai alla cartella.

Go to Folder

  1. Digitare /var/log quindi fare clic su Vai.

Vai all'interfaccia utente della cartella

  1. Copia Install.log in un luogo prontamente disponibile per ulteriori indagini.

Install

Nota: Dell Technologies consiglia di cercare "CrowdStrike" per assicurarsi che le informazioni riguardino CrowdStrike.

Prodotto

Si consiglia di abilitare la modalità dettagliata e quindi riprodurre il problema prima dell'acquisizione dei registri del prodotto. Una volta risolto il problema, si consiglia di disabilitare la modalità dettagliata. Per maggiori informazioni, cliccare sulla procedura appropriata.

Abilitare
Avvertenza:
  • Dell Technologies consiglia di abilitare la modalità dettagliata solo durante la risoluzione di un problema.
  • Dell Technologies consiglia di disabilitare la modalità dettagliata una volta risolto il problema.
  • Quando la modalità dettagliata è abilitata, gli endpoint potrebbero registrare un calo delle prestazioni.
  1. Accedere all'endpoint interessato.
  2. Nel menu Apple, cliccare su Vai, quindi selezionare Utility.

Utility

  1. Cliccare due volte su Terminale.

Terminale

  1. In Terminale digitare sudo sysctl cs.feature=3 e premere INVIO.
  2. Inserire la password per sudo, quindi premere Invio.

Terminale che popola la password sudo

  1. Confirm cs.feature=3.

Interfaccia utente del terminale

Nota: dopo aver abilitato la registrazione, riprodurre il problema.
Acquisizione
  1. Accedere all'endpoint interessato.
  2. Nel menu Apple, cliccare su Vai, quindi selezionare Utility.

Utility

  1. Cliccare due volte su Terminale.

Terminale

  1. In Terminale digitare sudo /Library/CS/falconctl diagnose e premere INVIO.
  2. Inserire la password per sudo, quindi premere Invio.

Terminale che popola la password sudo

  1. Dopo alcuni minuti, falconctl_diagnose.tgz saranno generati in /private/tmp.
Disabilitare
  1. Accedere all'endpoint interessato.
  2. Nel menu Apple, cliccare su Vai, quindi selezionare Utility.

Utility

  1. Cliccare due volte su Terminale.

Terminale

  1. In Terminale digitare sudo sysctl cs.feature=0 e premere INVIO.
  2. Inserire la password per sudo, quindi premere Invio.

Terminale che popola la password sudo

  1. Confirm cs.feature=0.

Interfaccia utente del terminale

  1. Accedere all'endpoint interessato.
  2. Aprire il Terminale in Linux.

Terminale

Nota: il layout dell'interfaccia utente può differire tra le distribuzioni Linux.
  1. In Terminale digitare su root e premere INVIO.
  2. Inserire la password per sudo, quindi premere Invio.

Terminale che popola la password sudo

  1. Digitare sudo mkdir /tmp/CrowdStrike e premere INVIO.

Directory per la creazione di terminali

Nota: L'esempio /tmp/CrowdStrike La directory può essere modificata nell'ambiente.
  1. Digitare sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt e premere INVIO.
  2. Digitare sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt e premere INVIO.
  3. Digitare sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt e premere INVIO.
  4. Digitare sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt e premere INVIO.

Interfaccia utente del terminale

Nota: le distribuzioni Linux potrebbero non contenere tutte le directory elencate.
  1. Acquisisci tutti i file di output all'interno /tmp/CrowdStrike (Passaggio 5) utilizzando SSH.

Terminale che acquisisce l'output

Nota:
  • Per impostazione predefinita, SSH è disabilitato sulle distribuzioni Linux.
  • Una volta abilitato SSH, è possibile utilizzare un software di terze parti (ad esempio, PuTTY) per eseguire la connessione all'endpoint Linux.

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

其他資訊

 

影片

 

文章屬性

受影響的產品

CrowdStrike

上次發佈日期

01 2月 2024

版本

17

文章類型

Solution

返回頁首