Как собрать журналы датчика CrowdStrike Falcon

Пользователь может устранить неполадки датчика CrowdStrike Falcon в Windows, вручную собрав журналы для:

• Журналы MSI : используются для устранения неполадок установки.
• Журналы продукта : используются для устранения проблем с активацией, коммуникациями и поведением.

Выберите нужный тип журналов, чтобы ознакомиться с дополнительными сведениями.

MSI

1. Войдите в затронутую конечную точку.
2. Нажмите правой кнопкой мыши меню Windows «Пуск» и выберите пункт Выполнить.

3. В пользовательском интерфейсе (UI) «Выполнить» введите одно из следующих значений.
   • При установке пользователем. %LOCALAPPDATA%\Temp , а затем нажмите кнопку ОК.
   • При установке с помощью автоматического обновления. %SYSTEMROOT%\Temp , а затем нажмите кнопку ОК.

4. Соберите:
   • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
   • CrowdStrike Window Sensor_[TIMESTAMP].log

Продукт

Рекомендуется включить подробность, а затем воспроизвести проблему перед сбором журналов продукта. После устранения проблемы рекомендуется отключить подробности. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

Включение

1. Войдите в затронутую конечную точку.
2. Нажмите правой кнопкой мыши меню Windows «Пуск» и выберите пункт Выполнить.

3. В пользовательском интерфейсе (UI) «Выполнить» введите regedit , а затем нажмите клавиши CTRL+SHIFT+ENTER, чтобы запустить редактор реестра от имени администратора.

4. Если включен контроль учетных записей (UAC), нажмите Yes. В противном случае перейдите к шагу 5.

5. Перейти к [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

6. Двойной щелчок AFLAGS.

7. Нажмите Delete, введите 03, а затем нажмите кнопку ОК.

8. Нажмите Файл и выберите Выход.

Capture

1. Войдите в затронутую конечную точку.
2. Нажмите правой кнопкой мыши меню Windows «Пуск» и выберите пункт Выполнить.

3. В пользовательском интерфейсе (UI) «Выполнить» введите eventvwr , а затем нажмите кнопку ОК.

4. В средстве просмотра событий разверните раздел Журналы Windows и нажмите Система.

5. Правой кнопкой мыши нажмите на журнал системы и выберите пункт Фильтровать текущий журнал.

6. Установите для параметра «Source » значение CSAgent.

7. Правой кнопкой мыши нажмите на системный журнал и выберите пункт Сохранить файл отфильтрованного журнала как.

8. Измените имя файла на CrowdStrike_[WORKSTATIONNAME].evtx , а затем нажмите кнопку Сохранить.

Отключение

1. Войдите в затронутую конечную точку.
2. Нажмите правой кнопкой мыши меню Windows «Пуск» и выберите пункт Выполнить.

3. В пользовательском интерфейсе (UI) «Выполнить» введите regedit , а затем нажмите клавиши CTRL+SHIFT+ENTER, чтобы запустить редактор реестра от имени администратора.

4. Если включен контроль учетных записей (UAC), нажмите Yes. В противном случае перейдите к шагу 5.

5. Перейдите на страницу [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

6. Нажмите Delete, введите 0, а затем нажмите кнопку ОК.

7. Нажмите Файл и выберите Выход.

Пользователь может устранить неполадки датчика CrowdStrike Falcon на Mac, собрав:

• Журналы установки : используются для устранения неполадок установки.
• Журналы продукта : используются для устранения проблем с активацией, коммуникациями и поведением.

Выберите нужный тип журналов, чтобы ознакомиться с дополнительными сведениями.

Установить

Датчик CrowdStrike Falcon использует собственный файл install.log для регистрации сведений об установке.

1. В меню Apple нажмите «Перейти», затем выберите Перейти в папку.

2. Введите /var/log , а затем нажмите кнопку Перейти.

3. Копировать Install.log в легкодоступное место для дальнейшего изучения.

Продукт

Рекомендуется включить подробность, а затем воспроизвести проблему перед сбором журналов продукта. После устранения проблемы рекомендуется отключить подробности. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

Включение

1. Войдите в систему затронутой конечной точки.
2. В меню Apple нажмите Перейти и выберите пункт Утилиты.

3. Дважды нажмите Terminal.

4. В терминале введите sudo sysctl cs.feature=3 и затем нажмите клавишу Enter.
5. Введите пароль для sudo, а затем нажмите клавишу Enter.

6. Confirm cs.feature=3.

Capture

1. Войдите в затронутую конечную точку.
2. В меню Apple нажмите Перейти и выберите пункт Утилиты.

3. Дважды нажмите Terminal.

4. В терминале введите sudo /Library/CS/falconctl diagnose и затем нажмите клавишу Enter.
5. Введите пароль для sudo, а затем нажмите клавишу Enter.

6. Через несколько минут falconctl_diagnose.tgz будет сгенерирован в /private/tmp.

Отключение

1. Войдите в систему затронутой конечной точки.
2. В меню Apple нажмите Перейти и выберите пункт Утилиты.

3. Дважды нажмите Terminal.

4. В терминале введите sudo sysctl cs.feature=0 и затем нажмите клавишу Enter.
5. Введите пароль для sudo, а затем нажмите клавишу Enter.

6. Confirm cs.feature=0.

1. Войдите в систему затронутой конечной точки.
2. Откройте Terminal в Linux.

3. В терминале введите su root и затем нажмите клавишу Enter.
4. Введите пароль для sudo, а затем нажмите клавишу Enter.

5. Введите sudo mkdir /tmp/CrowdStrike и затем нажмите клавишу Enter.

6. Введите sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt и затем нажмите клавишу Enter.
7. Введите sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt и затем нажмите клавишу Enter.
8. Введите sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt и затем нажмите клавишу Enter.
9. Введите sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt и затем нажмите клавишу Enter.

10. Запишите все выходные файлы в /tmp/CrowdStrike (Шаг 5) с помощью SSH.