Logboeken CrowdStrike Falcon Sensor verzamelen

Summary: Ontdek hoe u CrowdStrike Falcon sensorlogboeken verzamelt voor probleemoplossing. Stapsgewijze handleidingen zijn beschikbaar voor Windows, Mac en Linux.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

In dit artikel worden de methoden voor het verzamelen van logboeken voor de CrowdStrike Falcon Sensor besproken.

Betreffende producten:

  • CrowdStrike Falcon Sensor

Betreffende besturingssystemen:

  • Windows
  • Mac
  • Linux

Cause

Niet van toepassing

Resolution

Het wordt sterk aanbevolen om logboeken te verzamelen voordat u problemen met de CrowdStrike Falcon sensor oplost of contact opneemt met Dell Support.

Opmerking: Voor meer informatie over hoe u contact kunt opnemen met Dell support, verwijzen we u naar Telefoonnummers van internationale support voor Dell Data Security.

Klik op Windows, Mac of Linux voor relevante logboekgegevens.

Een gebruiker kan problemen met de CrowdStrike Falcon-sensor op Windows oplossen door handmatig logboeken te verzamelen voor:

  • MSI-logboeken : Wordt gebruikt om installatieproblemen op te lossen.
  • Productlogboeken : Wordt gebruikt om activerings-, communicatie- en gedragsproblemen op te lossen.

Klik op het gewenste logboektype voor meer informatie.

MSI

  1. Meld u aan bij het betreffende eindpunt.
  2. Klik met de rechtermuisknop op het Windows-startmenu en selecteer vervolgens Uitvoeren.

Voer

  1. Typ in de gebruikersinterface (UI) uitvoeren:
    • Indien geïnstalleerd door gebruiker: %LOCALAPPDATA%\Temp en klik vervolgens op OK.
    • Indien geïnstalleerd via automatische update: %SYSTEMROOT%\Temp en klik vervolgens op OK.

Gebruikersinterface uitvoeren

  1. Verzamelen:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

De afbeelding toont voorbeeldlogbestanden.

Opmerking:
  • [TIMESTAMP] = Datum & tijd van installatie
  • [BIT] = Vertegenwoordigt Agent32 of Agent64

Product

Het wordt aanbevolen om uitgebreide functionaliteit in te schakelen en vervolgens het probleem te reproduceren voordat u productlogboeken vastlegt . Zodra het probleem is opgelost, wordt aanbevolen om breedsprakigheid uit te schakelen . Klik op de gewenste procedure voor meer informatie.

Inschakelen
Waarschuwing:
  • Dell Technologies raadt aan om uitgebreidheid alleen in te schakelen bij het oplossen van een probleem.
  • Dell Technologies raadt aan om uitgebreide functionaliteit uit te schakelen nadat het probleem is opgelost.
  • Eindpunten presteren mogelijk minder goed wanneer uitgebreidheid is ingeschakeld.
  1. Meld u aan bij het betreffende eindpunt.
  2. Klik met de rechtermuisknop op het Windows-startmenu en selecteer vervolgens Uitvoeren.

Voer

  1. Typ in de gebruikersinterface (UI) van Uitvoeren regedit en druk vervolgens op CTRL+SHIFT+ENTER om de Register-editor als administrator uit te voeren.

Gebruikersinterface uitvoeren

  1. Klik op Yes als Gebruikersaccountbeheer (UAC) is ingeschakeld. Ga anders naar stap 5.

Prompt Gebruikersaccountbeheer

  1. Ga naar [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]te installeren.

Register

  1. Dubbelklik AFLAGSte installeren.

AFLAGS in het register

  1. Druk op Delete, typ 03en klik vervolgens op OK.

Het scherm Binaire waarde bewerken

  1. Klik op Bestand en selecteer vervolgens Afsluiten.

Register-editor afsluiten

Opmerking: Zodra logboekregistratie is ingeschakeld, reproduceert u het probleem.
Vastleggen
  1. Meld u aan bij het betreffende eindpunt.
  2. Klik met de rechtermuisknop op het Windows-startmenu en selecteer vervolgens Uitvoeren.

Voer

  1. Typ in de gebruikersinterface (UI) van Uitvoeren eventvwr en klik vervolgens op OK.

Gebruikersinterface uitvoeren

  1. Vouw in Logboeken Windows-logboeken uit en klik vervolgens op Systeem.

Windows-logboeken en systeem

  1. Klik met de rechtermuisknop op het systeemlogboek en selecteer vervolgens Huidig logboek filteren.

Huidig logboek filteren

  1. Stel de Bron in op CSAgentte installeren.

Gebeurtenisbron instellen op CSAgent

  1. Klik met de rechtermuisknop op het systeemlogboek en selecteer Gefilterd logbestand opslaan als.

Gefilterd logbestand opslaan als

  1. Wijzig de bestandsnaam in CrowdStrike_[WORKSTATIONNAME].evtx en klik vervolgens op Opslaan.

Bestandsnaam wijzigen en opslaan

Opmerking: Dell Technologies raadt aan om het volgende op te geven: [WORKSTATIONNAME] In het geval dat het probleem zich op meerdere eindpunten voordoet.
Uitschakelen
  1. Meld u aan bij het betreffende eindpunt.
  2. Klik met de rechtermuisknop op het Windows-startmenu en selecteer vervolgens Uitvoeren.

Voer

  1. Typ in de gebruikersinterface (UI) van Uitvoeren regedit en druk vervolgens op CTRL+SHIFT+ENTER om de Register-editor als administrator uit te voeren.

Gebruikersinterface uitvoeren

  1. Klik op Yes als Gebruikersaccountbeheer (UAC) is ingeschakeld. Ga anders verder met stap 5.

Prompt Gebruikersaccountbeheer

  1. Ga naar: [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]te installeren.

Register

  1. Druk op Delete, typ 0en klik vervolgens op OK.

Binaire waarde bewerken

  1. Klik op Bestand en selecteer vervolgens Afsluiten.

Het register afsluiten

Een gebruiker kan problemen met CrowdStrike Falcon Sensor op de Mac oplossen door het volgende te verzamelen:

Klik op het gewenste logboektype voor meer informatie.

Installeren

CrowdStrike Falcon Sensor gebruikt het systeemeigen install.log om informatie over de installatie te vast te leggen.

  1. Klik in het Apple-menu op Start en selecteer vervolgens Ga naar Map.

Ga naar map

  1. Typ /var/log en klik vervolgens op Start.

Ga naar de gebruikersinterface van map

  1. Kopiëren Install.log naar een direct beschikbare locatie voor verder onderzoek.

install.log

Opmerking: Dell Technologies raadt aan te zoeken naar "CrowdStrike" om ervoor te zorgen dat de informatie relevant is voor CrowdStrike.

Product

Het wordt aanbevolen om uitgebreide functionaliteit in te schakelen en vervolgens het probleem te reproduceren voordat u productlogboeken vastlegt . Zodra het probleem is opgelost, wordt aanbevolen om breedsprakigheid uit te schakelen . Klik op de gewenste procedure voor meer informatie.

Inschakelen
Waarschuwing:
  • Dell Technologies raadt aan om uitgebreidheid alleen in te schakelen bij het oplossen van een probleem.
  • Dell Technologies raadt aan om uitgebreide functionaliteit uit te schakelen nadat het probleem is opgelost.
  • Eindpunten presteren mogelijk minder goed wanneer uitgebreidheid is ingeschakeld.
  1. Meld u aan bij het betreffende eindpunt.
  2. Klik in het Apple-menu op Start en selecteer Hulpprogramma's.

Hulpprogramma's

  1. Dubbelklik op Terminal.

Terminal

  1. Typ in Terminal sudo sysctl cs.feature=3 en druk vervolgens op Enter.
  2. Voer het wachtwoord in voor sudoen druk vervolgens op Enter.

Terminal vult sudo password in

  1. Bevestigen cs.feature=3te installeren.

Terminal UI

Opmerking: Zodra logboekregistratie is ingeschakeld, reproduceert u het probleem.
Vastleggen
  1. Meld u aan bij het betreffende eindpunt.
  2. Klik in het Apple-menu op Start en selecteer Hulpprogramma's.

Hulpprogramma's

  1. Dubbelklik op Terminal.

Terminal

  1. Typ in Terminal sudo /Library/CS/falconctl diagnose en druk vervolgens op Enter.
  2. Voer het wachtwoord in voor sudoen druk vervolgens op Enter.

Terminal vult het sudo-wachtwoord in

  1. Na enkele minuten, falconctl_diagnose.tgz wordt gegenereerd in /private/tmpte installeren.
Uitschakelen
  1. Meld u aan bij het betreffende eindpunt.
  2. Klik in het Apple-menu op Start en selecteer Hulpprogramma's.

Hulpprogramma's

  1. Dubbelklik op Terminal.

Terminal

  1. Typ in Terminal sudo sysctl cs.feature=0 en druk vervolgens op Enter.
  2. Voer het wachtwoord in voor sudoen druk vervolgens op Enter.

Terminal vult het sudo-wachtwoord in

  1. Bevestigen cs.feature=0te installeren.

Terminal UI

  1. Meld u aan bij het betreffende eindpunt.
  2. Open de Linux Terminal.

Terminal

Opmerking: De indeling van de gebruikersinterface (UI) kan verschillen tussen Linux-distributies.
  1. Typ in Terminal su root en druk vervolgens op Enter.
  2. Voer het wachtwoord in voor sudoen druk vervolgens op Enter.

Terminal vult sudo password in

  1. Typ sudo mkdir /tmp/CrowdStrike en druk vervolgens op Enter.

Directory voor het maken van terminals

Opmerking: Het voorbeeld /tmp/CrowdStrike directory kan worden gewijzigd in uw omgeving.
  1. Typ sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt en druk vervolgens op Enter.
  2. Typ sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt en druk vervolgens op Enter.
  3. Typ sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt en druk vervolgens op Enter.
  4. Typ sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt en druk vervolgens op Enter.

Terminal UI

Opmerking: Linux-distributies hebben mogelijk niet alle vermelde mappen.
  1. Leg alle uitvoerbestanden vast in /tmp/CrowdStrike (Stap 5) met behulp van SSH.

Terminal die uitvoer vastlegt

Opmerking:
  • SSH is standaard uitgeschakeld op Linux-distributies.
  • Zodra SSH is ingeschakeld, kan software van derden (zoals PuTTY) worden gebruikt om verbinding te maken met het Linux-eindpunt.

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.