Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Article Number: 000178209

Samla in CrowdStrike Falcon Sensor-loggar

Summary: Läs om hur du samlar in CrowdStrike Falcon-sensorloggar för felsökning. Steg-för-steg-guider finns för Windows, Mac och Linux.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

I den här artikeln beskrivs metoderna för att samla in loggar för CrowdStrike Falcon-sensorn.

Berörda produkter:

  • CrowdStrike Falcon Sensor

Berörda operativsystem:

  • Windows
  • Mac
  • Linux

Cause

Inte applicerbart

Resolution

Vi rekommenderar starkt att du samlar in loggar innan du felsöker CrowdStrike Falcon-sensorn eller kontaktar Dells support.

Obs! Mer information om hur du kontaktar Dells support finns på Telefonnummer till internationell support för Dell Data Security.

Klicka på Windows, Mac eller Linux om du vill ha relevant loggningsinformation.

En användare kan felsöka CrowdStrike Falcon-sensorn i Windows genom att manuellt samla in loggar för:

  • MSI-loggar : Används för att felsöka installationsproblem.
  • Produktloggar : Används för att felsöka aktiverings-, kommunikations- och beteendeproblem.

Klicka på loggtyperna nedan om du vill ha mer information om dem.

MSI

  1. Logga in på den berörda slutpunkten.
  2. Högerklicka på Windows startmeny och välj Kör.

Kör

  1. I Kör användargränssnitt (UI) skriver du antingen:
    • Om den installerats av användaren: %LOCALAPPDATA%\Temp och klicka sedan på OK.
    • Om det installeras genom automatisk uppdatering: %SYSTEMROOT%\Temp och klicka sedan på OK.

Körgränssnittt

  1. Samla in:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Bilden visar exempel på loggfiler.

Obs!
  • [TIMESTAMP] = Datum och tid för installationen
  • [BIT] = Representerar antingen Agent32 eller Agent64

Produkt

Vi rekommenderar att du aktiverar utförlighet och sedan återskapar problemet innan produktloggarna samlas in . När problemet är löst rekommenderar vi att du inaktiverar utförlighet. Klicka på avsnitten nedan för mer information.

Aktivera
Varning!
  • Dell Technologies rekommenderar att du endast aktiverar utförlighet när du felsöker ett problem.
  • Dell Technologies rekommenderar att du inaktiverar utförlighet när problemet har lösts.
  • Slutpunkter kan få lägre prestanda medan informationsläget är aktivt.
  1. Logga in på den berörda slutpunkten.
  2. Högerklicka på Windows startmeny och välj Kör.

Kör

  1. I Kör användargränssnitt (UI) skriver du regedit och tryck sedan på CTRL+SKIFT+RETUR för att köra Registereditorn som administratör.

Körgränssnittt

  1. Klicka på Ja om UAC (kontroll av användarkonto) är aktiverat. Annars går du till steg 5.

Uppmaning om kontroll av användarkonto

  1. Gå till [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registret

  1. Dubbelklicka AFLAGS.

AFLAGS i registret

  1. Tryck på Delete, skriv 03och klicka sedan på OK.

Skärmen Redigera binärt värde

  1. Klicka på Arkiv och välj sedan Avsluta.

Avslutar Registereditorn

Obs! När loggning har aktiverats återskapar du problemet.
Samla in
  1. Logga in på den berörda slutpunkten.
  2. Högerklicka på Windows startmeny och välj Kör.

Kör

  1. I Kör användargränssnitt (UI) skriver du eventvwr och klicka sedan på OK.

Körgränssnittt

  1. I Loggboken expanderar du Windows-loggar och klickar sedan på System.

Windows-loggar och -system

  1. Högerklicka på systemloggen och välj sedan Filtrera aktuell logg.

Filtrera aktuell logg

  1. Ställ in KällaCSAgent.

Ställa in händelsekälla till CSAgent

  1. Högerklicka på systemloggen och välj sedan Spara filtrerad loggfil som.

Spara filtrerad loggfil som

  1. Ändra filnamnet till CrowdStrike_[WORKSTATIONNAME].evtx och klicka sedan på Spara.

Ändra filnamn och spara

Obs! Dell Technologies rekommenderar att du specificerar [WORKSTATIONNAME] Om problemet uppstår på flera slutpunkter.
Avaktivera
  1. Logga in på den berörda slutpunkten.
  2. Högerklicka på Windows startmeny och välj Kör.

Kör

  1. I Kör användargränssnitt (UI) skriver du regedit och tryck sedan på CTRL+SKIFT+RETUR för att köra Registereditorn som administratör.

Körgränssnittt

  1. Klicka på Ja om UAC (kontroll av användarkonto) är aktiverat. Annars fortsätter du till steg 5.

Uppmaning om kontroll av användarkonto

  1. Gå till [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registret

  1. Tryck på Delete, skriv 0och klicka sedan på OK.

Redigera binärt värde

  1. Klicka på Arkiv och välj sedan Avsluta.

Avsluta registret

En användare kan felsöka CrowdStrike Falcon-sensorn på Mac genom att samla in:

  • Installera loggar: Används för att felsöka installationsproblem.
  • Produktloggar : Används för att felsöka aktiverings-, kommunikations- och beteendeproblem.

Klicka på lämplig loggtyp om du vill ha mer information.

Installera

CrowdStrike Falcon Sensor använder den interna install.log för att dokumentera installationsinformation.

  1. Klicka på Gå i Apple-menyn och välj sedan Gå till mappen.

Gå till mapp

  1. Typ /var/log och klicka sedan på .

Gå till mappgränssnitt

  1. Kopiera Install.log till en lättillgänglig plats för vidare undersökning.

install.log

Obs! Dell Technologies rekommenderar att du söker efter "CrowdStrike" för att säkerställa att informationen är relevant för CrowdStrike.

Produkt

Vi rekommenderar att du aktiverar utförlighet och sedan återskapar problemet innan produktloggarna samlas in . När problemet är löst rekommenderar vi att du inaktiverar utförlighet. Klicka på avsnitten nedan för mer information.

Aktivera
Varning!
  • Dell Technologies rekommenderar att du endast aktiverar utförlighet när du felsöker ett problem.
  • Dell Technologies rekommenderar att du inaktiverar utförlighet när problemet har lösts.
  • Slutpunkter kan få lägre prestanda medan informationsläget är aktivt.
  1. Logga in på den berörda slutpunkten.
  2. Klicka på i Apple-menyn och välj sedan Verktyg.

Verktyg

  1. Dubbelklicka på Terminal.

Terminal

  1. I Terminal skriver du sudo sysctl cs.feature=3 och tryck sedan på Enter.
  2. Ange lösenordet för sudooch tryck sedan på Retur.

Terminal som fyller i sudo-lösenord

  1. Bekräfta cs.feature=3.

Terminalgränssnitt

Obs! När loggning har aktiverats återskapar du problemet.
Samla in
  1. Logga in på den berörda slutpunkten.
  2. Klicka på i Apple-menyn och välj sedan Verktyg.

Verktyg

  1. Dubbelklicka på Terminal.

Terminal

  1. I Terminal skriver du sudo /Library/CS/falconctl diagnose och tryck sedan på Enter.
  2. Ange lösenordet för sudooch tryck sedan på Retur.

Terminal som fyller i sudo-lösenordet

  1. Efter flera minuter, falconctl_diagnose.tgz kommer att genereras i /private/tmp.
Avaktivera
  1. Logga in på den berörda slutpunkten.
  2. Klicka på i Apple-menyn och välj sedan Verktyg.

Verktyg

  1. Dubbelklicka på Terminal.

Terminal

  1. I Terminal skriver du sudo sysctl cs.feature=0 och tryck sedan på Enter.
  2. Ange lösenordet för sudooch tryck sedan på Retur.

Terminal som fyller i sudo-lösenordet

  1. Bekräfta cs.feature=0.

Terminalgränssnitt

  1. Logga in på den berörda slutpunkten.
  2. Öppna Linux Terminal.

Terminal

Obs! Användargränssnittets (UI) layout kan skilja sig åt mellan Linux-distributioner.
  1. I Terminal skriver du su root och tryck sedan på Enter.
  2. Ange lösenordet för sudooch tryck sedan på Retur.

Terminal som fyller i sudo-lösenord

  1. Typ sudo mkdir /tmp/CrowdStrike och tryck sedan på Enter.

Katalog för att skapa terminaler

Obs! Exemplet /tmp/CrowdStrike katalogen kan ändras i din miljö.
  1. Typ sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt och tryck sedan på Enter.
  2. Typ sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt och tryck sedan på Enter.
  3. Typ sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt och tryck sedan på Enter.
  4. Typ sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt och tryck sedan på Enter.

Terminalgränssnitt

Obs! Linux-distributioner kanske inte har alla kataloger i listan.
  1. Samla in alla utdatafiler i /tmp/CrowdStrike (Steg 5) med SSH.

Terminalinhämtningsutgång

Obs!
  • SSH avaktiveras som standard på Linux-distributioner.
  • När SSH har aktiverats kan programvara från tredje part (till exempel PuTTY) användas för att ansluta till Linux-slutpunkten.

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Additional Information

 

Videos

 

Article Properties

Affected Product

CrowdStrike

Last Published Date

01 Feb 2024

Version

17

Article Type

Solution

Back to Top