CrowdStrike Falcon Sensor Günlüklerini Toplama

Kullanıcı, şunlar için günlükleri manuel olarak toplayarak Windows'da CrowdStrike Falcon Sensor sorunlarını giderebilir:

• MSI günlükleri: Yükleme sorunlarını gidermek için kullanılır.
• Ürün günlükleri: Etkinleştirme, iletişim ve davranış sorunlarını gidermek için kullanılır.

Daha fazla bilgi için uygun günlüğe kayıt tipini seçin.

MSI

1. Etkilenen uç noktada oturum açın.
2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

3. Çalıştır kullanıcı arayüzüne (UI) aşağıdakilerden birini yazın:
   • Kullanıcı tarafından yüklendiyse: %LOCALAPPDATA%\Temp ve ardından Tamam'ı tıklatın.
   • Otomatik güncelleştirme ile yüklendiyse: %SYSTEMROOT%\Temp ve ardından Tamam'ı tıklatın.

4. Toplamak:
   • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
   • CrowdStrike Window Sensor_[TIMESTAMP].log

Ürün

Ayrıntı düzeyinin etkinleştirilmesi ve ardından ürün günlüklerinin yakalanmasından önce sorunun yeniden oluşturulması önerilir. Sorun çözüldükten sonra ayrıntı düzeyini devre dışı bırakmanız önerilir. Daha fazla bilgi için uygun işleme tıklayın.

Etkinleştirme

1. Etkilenen uç noktada oturum açın.
2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

3. Run user interface (UI) alanına şunu yazın: regedit ve ardından Kayıt Defteri Düzenleyicisi'ni yönetici olarak çalıştırmak için CTRL+SHIFT+ENTER tuşlarına basın.

4. Kullanıcı Hesabı Denetimi (UAC) etkinse Evet öğesine tıklayın. Aksi durumda 5. Adıma gidin.

5. Git [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

6. Çift tıklatın AFLAGS.

7. Delete tuşuna basın, yazın 03tıklatın ve sonra Tamam'ı tıklatın.

8. Önce Dosya öğesine, ardından Çıkış öğesine tıklayın.

Kaydetme

1. Etkilenen uç noktada oturum açın.
2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

3. Run user interface (UI) alanına şunu yazın: eventvwr ve ardından Tamam'ı tıklatın.

4. Olay Görüntüleyicisi'nde Windows Günlükleri'ni genişletin ve Sistem öğesine tıklayın.

5. Sistem günlüğüne sağ tıklayın ve Geçerli Günlüğü Filtrele öğesini seçin.

6. Kaynağı şu şekilde ayarlayın: CSAgent.

7. Sistem günlüğüne sağ tıklayın ve Save Filtered Log File As (Filtre Uygulanmış Günlük Dosyasını Farklı Kaydet) öğesini seçin.

8. Dosya Adını şu şekilde değiştirin: CrowdStrike_[WORKSTATIONNAME].evtx ve ardından Save öğesine tıklayın.

Devre Dışı Bırakma

1. Etkilenen uç noktada oturum açın.
2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

3. Run user interface (UI) alanına şunu yazın: regedit ve ardından Kayıt Defteri Düzenleyicisi'ni yönetici olarak çalıştırmak için CTRL+SHIFT+ENTER tuşlarına basın.

4. Kullanıcı Hesabı Denetimi (UAC) etkinse Evet öğesine tıklayın. Aksi durumda 5. Adıma gidin.

5. Şu adrese gidin: [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

6. Delete tuşuna basın, yazın 0tıklatın ve sonra Tamam'ı tıklatın.

7. Önce Dosya öğesine, ardından Çıkış öğesine tıklayın.

Kullanıcı, aşağıdakileri toplayarak Mac'te CrowdStrike Falcon Sensor sorunlarını giderebilir:

• Yükleme günlükleri: Yükleme sorunlarını gidermek için kullanılır.
• Ürün günlükleri: Etkinleştirme, iletişim ve davranış sorunlarını gidermek için kullanılır.

Daha fazla bilgi için uygun günlük tipini seçin.

Yükle

CrowdStrike Falcon Sensor, yerel install.log dosyasına kurulum bilgilerini kaydeder.

1. Apple menüsünden, Git'e tıklayın ve Klasöre Git öğesini seçin.

2. Şunu yazın: /var/log ve ardından Git'e tıklayın.

3. Kopyalar Install.log daha fazla araştırma için hazır bir yere.

Ürün

Ayrıntı düzeyinin etkinleştirilmesi ve ardından ürün günlüklerinin yakalanmasından önce sorunun yeniden oluşturulması önerilir. Sorun çözüldükten sonra ayrıntı düzeyini devre dışı bırakmanız önerilir. Daha fazla bilgi için uygun işleme tıklayın.

Etkinleştirme

1. Etkilenen uç noktada oturum açın.
2. Apple menüsünde Git öğesine tıklayın ve İzlenceler öğesini seçin.

3. Terminal'e çift tıklayın.

4. Terminal'e şunu yazın: sudo sysctl cs.feature=3 ve Enter tuşuna basın.
5. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

6. Confirm (Onayla) cs.feature=3.

Kaydetme

1. Etkilenen uç noktada oturum açın.
2. Apple menüsünde Git öğesine tıklayın ve İzlenceler öğesini seçin.

3. Terminal'e çift tıklayın.

4. Terminal'e şunu yazın: sudo /Library/CS/falconctl diagnose ve Enter tuşuna basın.
5. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

6. Birkaç dakika sonra, falconctl_diagnose.tgz Şurada oluşturulacaktır: /private/tmp.

Devre Dışı Bırakma

1. Etkilenen uç noktada oturum açın.
2. Apple menüsünde Git öğesine tıklayın ve İzlenceler öğesini seçin.

3. Terminal'e çift tıklayın.

4. Terminal'e şunu yazın: sudo sysctl cs.feature=0 ve Enter tuşuna basın.
5. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

6. Confirm (Onayla) cs.feature=0.

1. Etkilenen uç noktada oturum açın.
2. Linux Terminali açın.

3. Terminal'e şunu yazın: su root ve Enter tuşuna basın.
4. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

5. Şunu yazın: sudo mkdir /tmp/CrowdStrike ve Enter tuşuna basın.

6. Şunu yazın: sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt ve Enter tuşuna basın.
7. Şunu yazın: sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt ve Enter tuşuna basın.
8. Şunu yazın: sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt ve Enter tuşuna basın.
9. Şunu yazın: sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt ve Enter tuşuna basın.

10. İçindeki tüm çıktı dosyalarını yakalayın /tmp/CrowdStrike (Adım 5) SSH kullanarak.