Slik henter du inn logger for CrowdStrike Falcon Sensor

Summary: Finn ut hvordan du samler inn CrowdStrike Falcon Sensor-logger for feilsøking. Trinnvise veiledninger er tilgjengelige for Windows, Mac og Linux.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Denne artikkelen drøfter metodene for å samle inn logger for CrowdStrike Falcon Sensor.

Berørte produkter:

  • CrowdStrike Falcon Sensor

Berørte operativsystemer:

  • Windows
  • Mac
  • Linux

Cause

Ikke aktuelt

Resolution

Det anbefales på det sterkeste å samle inn logger før du feilsøker CrowdStrike Falcon Sensor eller kontakter Dells kundestøtte.

Merk: Hvis du vil ha mer informasjon om hvordan du kontakter Dell Support, kan du se Dell Data Security International Support Phone Numbers.

Klikk på Windows, Mac eller Linux for relevant loggingsinformasjon.

En bruker kan feilsøke CrowdStrike Falcon Sensor på Windows ved å samle inn logger manuelt for:

  • MSI-logger : Brukes til å feilsøke installasjonsproblemer.
  • Produktlogger : Brukes til å feilsøke problemer med aktivering, kommunikasjon og virkemåte.

Klikk på den aktuelle loggtypen for å få mer informasjon.

MSI

  1. Logg på det berørte endepunktet.
  2. Høyreklikk på Windows-startmenyen, og velg Kjør.

Kjør

  1. I Run user interface (UI) skriver du inn enten:
    • Hvis installert av brukeren: %LOCALAPPDATA%\Temp , og klikk deretter OK.
    • Hvis installert av automatisk oppdatering: %SYSTEMROOT%\Temp , og klikk deretter OK.

Kjør-brukergrensesnittet

  1. Samle inn:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Bildet viser eksempelloggfiler.

Merk:
  • [TIMESTAMP] = Dato og klokkeslett for installasjonen
  • [BIT] = Representerer enten Agent32 eller Agent64

Produkt

Det anbefales å aktivere detaljrikdom og deretter reprodusere problemet før innhenting av produktlogger. Når problemet er løst, anbefales det å deaktivere utførlighet. Klikk på den aktuelle prosessen for å få mer informasjon.

Aktivere
Advarsel:
  • Dell Technologies anbefaler at du bare aktiverer utførlighet når du feilsøker et problem.
  • Dell Technologies anbefaler at du deaktiverer utførlighet etter at problemet er løst.
  • Endepunktenes ytelse kan være svakere når høyt detaljnivå er aktivert.
  1. Logg på det berørte endepunktet.
  2. Høyreklikk på Windows-startmenyen, og velg Kjør.

Kjør

  1. I Run user interface (UI) skriver du inn regedit og trykk deretter CTRL + SHIFT + ENTER for å kjøre Registerredigering som administrator.

Kjør-brukergrensesnittet

  1. Hvis Brukerkontokontroll (UAC) er aktivert, klikker du på Ja. Hvis ikke, går du til trinn 5.

Ledetekst for brukerkontokontroll

  1. Gå til [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registret

  1. Dobbeltklikk AFLAGS.

AFLAGS i registret

  1. Trykk DEL, skriv 03, og klikk deretter OK.

Skjermbildet Rediger binær verdi

  1. Klikk på Fil og deretter på Avslutt.

Avslutter Registerredigering

Merk: Når logging er aktivert, gjenskaper du problemet.
Registrere
  1. Logg på det berørte endepunktet.
  2. Høyreklikk på Windows-startmenyen, og velg Kjør.

Kjør

  1. I Run user interface (UI) skriver du inn eventvwr , og klikk deretter OK.

Kjør-brukergrensesnittet

  1. Utvid Windows-logger i hendelseslisten , og klikk deretter System.

Windows-logger og system

  1. Høyreklikk systemloggen, og velg deretter Filtrer gjeldende logg.

Filtrer gjeldende logg

  1. Sett kilden til CSAgent.

Angi hendelseskilde til CSAgent

  1. Høyreklikk systemloggen, og velg deretter Lagre filtrert loggfil som.

Lagre filtrert loggfil som

  1. Endre filnavn til CrowdStrike_[WORKSTATIONNAME].evtx , og klikk deretter Lagre.

Endre filnavn og lagre

Merk: Dell Technologies anbefaler at du spesifiserer [WORKSTATIONNAME] i tilfelle problemet oppstår på flere endepunkter.
Deaktivere
  1. Logg på det berørte endepunktet.
  2. Høyreklikk på Windows-startmenyen, og velg Kjør.

Kjør

  1. I Run user interface (UI) skriver du inn regedit og trykk deretter CTRL + SHIFT + ENTER for å kjøre Registerredigering som administrator.

Kjør-brukergrensesnittet

  1. Hvis Brukerkontokontroll (UAC) er aktivert, klikker du på Ja. Hvis ikke, går du til trinn 5.

Ledetekst for brukerkontokontroll

  1. Gå til [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registret

  1. Trykk DEL, skriv 0, og klikk deretter OK.

Rediger binær verdi

  1. Klikk på Fil og deretter på Avslutt.

Avslutte registeret

En bruker kan feilsøke CrowdStrike Falcon Sensor på Mac ved å samle inn:

  • Installasjonslogger : Brukes til å feilsøke installasjonsproblemer.
  • Produktlogger : Brukes til å feilsøke problemer med aktivering, kommunikasjon og virkemåte.

Klikk på den aktuelle loggtypen hvis du vil ha mer informasjon.

Installering

CrowdStrike Falcon Sensor bruker den innebygde install.log til å dokumentere installeringsinformasjon.

  1. I Apple-menyen klikker du på Go (Gå) og velger deretter Go to folder (Gå til mappe).

Gå til mappe

  1. Skriv inn /var/log , og klikk deretter til.

Gå til mappegrensesnittet

  1. Kopier Install.log til et lett tilgjengelig sted for videre undersøkelser.

install.log

Merk: Dell Technologies anbefaler at du søker etter "CrowdStrike" for å sikre at informasjonen er relevant for CrowdStrike.

Produkt

Det anbefales å aktivere detaljrikdom og deretter reprodusere problemet før innhenting av produktlogger. Når problemet er løst, anbefales det å deaktivere utførlighet. Klikk på den aktuelle prosessen for å få mer informasjon.

Aktivere
Advarsel:
  • Dell Technologies anbefaler at du bare aktiverer utførlighet når du feilsøker et problem.
  • Dell Technologies anbefaler at du deaktiverer utførlighet etter at problemet er løst.
  • Endepunktenes ytelse kan være svakere når høyt detaljnivå er aktivert.
  1. Logg inn på det berørte endepunktet.
  2. I Apple-menyen klikker du på Go (Gå) og velger Utilities (Verktøy).

Verktøy

  1. Dobbeltklikk på Terminal.

Terminal

  1. I Terminal skriver du inn sudo sysctl cs.feature=3 , og trykk deretter Enter.
  2. Fyll ut passordet for sudo, og trykk deretter ENTER.

Terminal som fyller ut sudo-passord

  1. Bekrefte cs.feature=3.

Terminalgrensesnitt

Merk: Når logging er aktivert, gjenskaper du problemet.
Registrere
  1. Logg på det berørte endepunktet.
  2. I Apple-menyen klikker du på Go (Gå) og velger Utilities (Verktøy).

Verktøy

  1. Dobbeltklikk på Terminal.

Terminal

  1. I Terminal skriver du inn sudo /Library/CS/falconctl diagnose , og trykk deretter Enter.
  2. Fyll ut passordet for sudo, og trykk deretter ENTER.

Terminal som fyller ut sudo-passordet

  1. Etter flere minutter, falconctl_diagnose.tgz vil bli generert i /private/tmp.
Deaktivere
  1. Logg inn på det berørte endepunktet.
  2. I Apple-menyen klikker du på Go (Gå) og velger Utilities (Verktøy).

Verktøy

  1. Dobbeltklikk på Terminal.

Terminal

  1. I Terminal skriver du inn sudo sysctl cs.feature=0 , og trykk deretter Enter.
  2. Fyll ut passordet for sudo, og trykk deretter ENTER.

Terminal som fyller ut sudo-passordet

  1. Bekrefte cs.feature=0.

Terminalgrensesnitt

  1. Logg inn på det berørte endepunktet.
  2. Åpne Terminal i Linux.

Terminal

Merk: Oppsettet for brukergrensesnittet (UI) kan avvike mellom Linux-distribusjonene.
  1. I Terminal skriver du inn su root , og trykk deretter Enter.
  2. Fyll ut passordet for sudo, og trykk deretter ENTER.

Terminal som fyller ut sudo-passord

  1. Skriv inn sudo mkdir /tmp/CrowdStrike , og trykk deretter Enter.

Terminal lage katalog

Merk: Eksemplet /tmp/CrowdStrike Katalogen kan endres i miljøet ditt.
  1. Skriv inn sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt , og trykk deretter Enter.
  2. Skriv inn sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt , og trykk deretter Enter.
  3. Skriv inn sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt , og trykk deretter Enter.
  4. Skriv inn sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt , og trykk deretter Enter.

Terminalgrensesnitt

Merk: Linux-distribusjoner har kanskje ikke alle oppførte kataloger.
  1. Ta opp alle utdatafiler innen /tmp/CrowdStrike (Trinn 5) ved hjelp av SSH.

Terminal fanger utdata

Merk:
  • SSH er som standard deaktivert på Linux-distribusjoner.
  • Når SSH er aktivert, kan tredjepartsprogramvare (for eksempel PuTTY) brukes til å koble til Linux-endepunktet.

Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.