CrowdStrike Falcon Sensor Günlüklerini Toplama

Summary: Sorun giderme için CrowdStrike Falcon Sensor günlüklerini nasıl alacağınızı öğrenin. Adım adım kılavuzlar Windows, Mac ve Linux için mevcuttur.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Bu makalede, CrowdStrike Falcon Sensor için günlük toplama yöntemleri açıklanmaktadır.

Etkilenen Ürünler:

  • CrowdStrike Falcon Sensor

Etkilenen İşletim Sistemleri:

  • Windows
  • Mac
  • Linux

Cause

Geçerli değil

Resolution

CrowdStrike Falcon Sensor ile sorun gidermeden veya Dell destek ile iletişime geçmeden önce günlükleri toplamanız önemle tavsiye edilir.

Not: Dell Support ile iletişime geçme hakkında daha fazla bilgi için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.

İlgili günlük bilgileri için Windows, Mac veya Linux'a tıklayın.

Kullanıcı, şunlar için günlükleri manuel olarak toplayarak Windows'da CrowdStrike Falcon Sensor sorunlarını giderebilir:

  • MSI günlükleri: Yükleme sorunlarını gidermek için kullanılır.
  • Ürün günlükleri: Etkinleştirme, iletişim ve davranış sorunlarını gidermek için kullanılır.

Daha fazla bilgi için uygun günlüğe kayıt tipini seçin.

MSI

  1. Etkilenen uç noktada oturum açın.
  2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

Çalıştırma

  1. Çalıştır kullanıcı arayüzüne (UI) aşağıdakilerden birini yazın:
    • Kullanıcı tarafından yüklendiyse: %LOCALAPPDATA%\Temp ve ardından Tamam'ı tıklatın.
    • Otomatik güncelleştirme ile yüklendiyse: %SYSTEMROOT%\Temp ve ardından Tamam'ı tıklatın.

Çalıştır Kullanıcı Arayüzü

  1. Toplamak:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Görüntüde, örnek günlük dosyaları gösterilmektedir.

Not:
  • [TIMESTAMP] = Kurulum tarihi ve saati
  • [BIT] = Agent32 veya Agent64'ü temsil eder

Ürün

Ayrıntı düzeyinin etkinleştirilmesi ve ardından ürün günlüklerinin yakalanmasından önce sorunun yeniden oluşturulması önerilir. Sorun çözüldükten sonra ayrıntı düzeyini devre dışı bırakmanız önerilir. Daha fazla bilgi için uygun işleme tıklayın.

Etkinleştirme
Uyarı:
  • Dell Technologies, ayrıntı düzeyinin yalnızca bir sorunu giderirken etkinleştirilmesini önerir.
  • Dell Technologies, sorun çözüldükten sonra ayrıntı düzeyinin devre dışı bırakılmasını önerir.
  • Ayrıntı düzeyi etkinleştirildiğinde uç noktaların performansı azalabilir.
  1. Etkilenen uç noktada oturum açın.
  2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

Çalıştırma

  1. Run user interface (UI) alanına şunu yazın: regedit ve ardından Kayıt Defteri Düzenleyicisi'ni yönetici olarak çalıştırmak için CTRL+SHIFT+ENTER tuşlarına basın.

Çalıştır Kullanıcı Arayüzü

  1. Kullanıcı Hesabı Denetimi (UAC) etkinse Evet öğesine tıklayın. Aksi durumda 5. Adıma gidin.

Kullanıcı Hesabı Denetimi istemi

  1. Git [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Kayıt defteri

  1. Çift tıklatın AFLAGS.

Kayıt defterindeki AFLAG'ler

  1. Delete tuşuna basın, yazın 03tıklatın ve sonra Tamam'ı tıklatın.

İkili Değeri Düzenle ekran

  1. Önce Dosya öğesine, ardından Çıkış öğesine tıklayın.

Kayıt Defteri Düzenleyicisi'nden Çıkma

Not: Günlüğe kaydetme etkinleştirildikten sonra sorunun yeniden oluşmasını sağlayın.
Kaydetme
  1. Etkilenen uç noktada oturum açın.
  2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

Çalıştırma

  1. Run user interface (UI) alanına şunu yazın: eventvwr ve ardından Tamam'ı tıklatın.

Çalıştır Kullanıcı Arayüzü

  1. Olay Görüntüleyicisi'nde Windows Günlükleri'ni genişletin ve Sistem öğesine tıklayın.

Windows Günlükleri ve Sistemi

  1. Sistem günlüğüne sağ tıklayın ve Geçerli Günlüğü Filtrele öğesini seçin.

Geçerli Günlüğü Filtrele

  1. Kaynağı şu şekilde ayarlayın: CSAgent.

Olay Kaynağını CSAgent olarak Ayarlama

  1. Sistem günlüğüne sağ tıklayın ve Save Filtered Log File As (Filtre Uygulanmış Günlük Dosyasını Farklı Kaydet) öğesini seçin.

Filtrelenmiş Günlük Dosyasını Farklı Kaydet

  1. Dosya Adını şu şekilde değiştirin: CrowdStrike_[WORKSTATIONNAME].evtx ve ardından Save öğesine tıklayın.

Dosya adını değiştirme ve kaydetme

Not: Dell Technologies şunları belirtmenizi önerir: [WORKSTATIONNAME] Sorunun birden fazla uç noktada gerçekleşmesi durumunda.
Devre Dışı Bırakma
  1. Etkilenen uç noktada oturum açın.
  2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

Çalıştırma

  1. Run user interface (UI) alanına şunu yazın: regedit ve ardından Kayıt Defteri Düzenleyicisi'ni yönetici olarak çalıştırmak için CTRL+SHIFT+ENTER tuşlarına basın.

Çalıştır Kullanıcı Arayüzü

  1. Kullanıcı Hesabı Denetimi (UAC) etkinse Evet öğesine tıklayın. Aksi durumda 5. Adıma gidin.

Kullanıcı Hesabı Denetimi istemi

  1. Şu adrese gidin: [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Kayıt defteri

  1. Delete tuşuna basın, yazın 0tıklatın ve sonra Tamam'ı tıklatın.

İkili Değeri Düzenle

  1. Önce Dosya öğesine, ardından Çıkış öğesine tıklayın.

Kayıt defterinden çıkma

Kullanıcı, aşağıdakileri toplayarak Mac'te CrowdStrike Falcon Sensor sorunlarını giderebilir:

  • Yükleme günlükleri: Yükleme sorunlarını gidermek için kullanılır.
  • Ürün günlükleri: Etkinleştirme, iletişim ve davranış sorunlarını gidermek için kullanılır.

Daha fazla bilgi için uygun günlük tipini seçin.

Yükle

CrowdStrike Falcon Sensor, yerel install.log dosyasına kurulum bilgilerini kaydeder.

  1. Apple menüsünden, Git'e tıklayın ve Klasöre Git öğesini seçin.

Klasöre Gidin

  1. Şunu yazın: /var/log ve ardından Git'e tıklayın.

Klasör Kullanıcı Arayüzüne gidin

  1. Kopyalar Install.log daha fazla araştırma için hazır bir yere.

install.log

Not: Dell Technologies, bilgilerin CrowdStrike ile ilgili olduğundan emin olmak için "CrowdStrike" öğesinin aranmasını önerir.

Ürün

Ayrıntı düzeyinin etkinleştirilmesi ve ardından ürün günlüklerinin yakalanmasından önce sorunun yeniden oluşturulması önerilir. Sorun çözüldükten sonra ayrıntı düzeyini devre dışı bırakmanız önerilir. Daha fazla bilgi için uygun işleme tıklayın.

Etkinleştirme
Uyarı:
  • Dell Technologies, ayrıntı düzeyinin yalnızca bir sorunu giderirken etkinleştirilmesini önerir.
  • Dell Technologies, sorun çözüldükten sonra ayrıntı düzeyinin devre dışı bırakılmasını önerir.
  • Ayrıntı düzeyi etkinleştirildiğinde uç noktaların performansı azalabilir.
  1. Etkilenen uç noktada oturum açın.
  2. Apple menüsünde Git öğesine tıklayın ve İzlenceler öğesini seçin.

Utilities (İzlenceler)

  1. Terminal'e çift tıklayın.

Terminal

  1. Terminal'e şunu yazın: sudo sysctl cs.feature=3 ve Enter tuşuna basın.
  2. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

Terminal sudo parolasını dolduruyor

  1. Confirm (Onayla) cs.feature=3.

Terminal Kullanıcı Arayüzü

Not: Günlüğe kaydetme etkinleştirildikten sonra sorunun yeniden oluşmasını sağlayın.
Kaydetme
  1. Etkilenen uç noktada oturum açın.
  2. Apple menüsünde Git öğesine tıklayın ve İzlenceler öğesini seçin.

Utilities (İzlenceler)

  1. Terminal'e çift tıklayın.

Terminal

  1. Terminal'e şunu yazın: sudo /Library/CS/falconctl diagnose ve Enter tuşuna basın.
  2. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

Sudo parolasını giren terminal

  1. Birkaç dakika sonra, falconctl_diagnose.tgz Şurada oluşturulacaktır: /private/tmp.
Devre Dışı Bırakma
  1. Etkilenen uç noktada oturum açın.
  2. Apple menüsünde Git öğesine tıklayın ve İzlenceler öğesini seçin.

Utilities (İzlenceler)

  1. Terminal'e çift tıklayın.

Terminal

  1. Terminal'e şunu yazın: sudo sysctl cs.feature=0 ve Enter tuşuna basın.
  2. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

Sudo parolasını giren terminal

  1. Confirm (Onayla) cs.feature=0.

Terminal Kullanıcı Arayüzü

  1. Etkilenen uç noktada oturum açın.
  2. Linux Terminali açın.

Terminal

Not: Kullanıcı arabirimi (UI) düzeni Linux dağıtımları arasında farklılık gösterebilir.
  1. Terminal'e şunu yazın: su root ve Enter tuşuna basın.
  2. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

Terminal sudo parolasını dolduruyor

  1. Şunu yazın: sudo mkdir /tmp/CrowdStrike ve Enter tuşuna basın.

Terminal oluşturma dizini

Not: Örnek /tmp/CrowdStrike dizini ortamınızda değiştirilebilir.
  1. Şunu yazın: sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt ve Enter tuşuna basın.
  2. Şunu yazın: sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt ve Enter tuşuna basın.
  3. Şunu yazın: sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt ve Enter tuşuna basın.
  4. Şunu yazın: sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt ve Enter tuşuna basın.

Terminal Kullanıcı Arayüzü

Not: Linux dağıtımları, listelenen dizinlerin tümünü içermeyebilir.
  1. İçindeki tüm çıktı dosyalarını yakalayın /tmp/CrowdStrike (Adım 5) SSH kullanarak.

Terminal yakalama çıktısı

Not:
  • SSH, Linux dağıtımlarında varsayılan olarak devre dışı bırakılmıştır.
  • SSH etkinleştirildiğinde, Linux uç noktasına bağlanmak için üçüncü parti yazılımı (ör. PuTTY) kullanılabilir.

Destek ile iletişime geçmek için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.
Çevrimiçi olarak teknik destek talebi oluşturmak için TechDirect adresine gidin.
Daha fazla faydalı bilgi ve kaynak için Dell Security Topluluk Forumu'na katılın.

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.