如何收集CrowdStrike Falcon Sensor日志

Summary: 了解如何收集 CrowdStrike Falcon Sensor 日志以进行故障处理。分步指南适用于 Windows、Mac 和 Linux。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

本文讨论收集 CrowdStrike Falcon Sensor 日志的方法。

受影响的产品:

  • CrowdStrike Falcon Sensor

受影响的操作系统:

  • Windows
  • Mac
  • Linux

Cause

不适用

Resolution

强烈建议在对 CrowdStrike Falcon Sensor 进行故障处理或联系戴尔支持之前收集日志。

提醒:有关联系戴尔支持的更多信息,请参阅 Dell Data Security 国际支持电话号码

单击 WindowsMacLinux 了解相关日志记录信息。

用户可以通过手动收集以下方面的日志,对 Windows 上的 CrowdStrike Falcon Sensor 进行故障处理:

  • MSI 日志:用于对安装问题进行故障处理。
  • 产品 日志:用于对激活、通信和行为问题进行故障处理。

单击相应的日志记录类型以了解更多信息。

MSI

  1. 登录 受影响的端点。
  2. 右键单击Windows开始菜单,然后选择Run(运行)。

运行

  1. 在“运行”用户界面 (UI) 中,键入以下任一内容:
    • 如果由用户安装: %LOCALAPPDATA%\Temp ,然后单击 “确定”。
    • 如果通过自动更新安装: %SYSTEMROOT%\Temp ,然后单击 “确定”。

“运行”UI

  1. 收集
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

图中展示了示例日志文件。

提醒:
  • [TIMESTAMP] = 安装日期和时间
  • [BIT] = 表示 Agent32 或 Agent64

产品

建议 启用 详细模式,然后在 捕获 产品日志之前重现问题。解决问题后,建议 禁用 详细模式。单击相应的过程以了解更多信息。

启用
警告:
  • Dell Technologies 建议仅在对问题进行故障处理时启用详细模式。
  • Dell Technologies 建议在解决问题后禁用详细模式。
  • 在启用详细模式时,端点可能会遇到性能下降的问题。
  1. 登录 受影响的端点。
  2. 右键单击Windows开始菜单,然后选择Run(运行)。

运行

  1. 在“运行”用户界面 (UI) 中,键入 regedit ,然后按 CTRL+SHIFT+ENTER 以管理员身份运行 Registry Editor。

“运行”UI

  1. 如果启用了用户帐户控制 (UAC),则单击 Yes。否则,请转至步骤 5。

用户帐户控制提示

  1. 转到(G) [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]

Registry

  1. 双击 AFLAGS

注册表中的 AFLAGS

  1. Delete 键,键入 03,然后单击 “确定”。

“编辑二进制值”屏幕

  1. 单击文件,然后选择退出

退出 Registry Editor

提醒:在启用日志记录后,重现该问题。
捕获
  1. 登录 受影响的端点。
  2. 右键单击Windows开始菜单,然后选择Run(运行)。

运行

  1. 在“运行”用户界面 (UI) 中,键入 eventvwr ,然后单击 “确定”。

“运行”UI

  1. 在事件查看器中,展开 Windows 日志,然后单击 System

Windows 日志和系统

  1. 右键单击 System log,然后选择 Filter Current Log

筛选当前日志

  1. 设置为 CSAgent

将事件源设置为 CSAgent

  1. 右键单击 System log,然后选择 Save Filtered Log File As

将筛选后的日志文件另存为

  1. 将 File Name 更改为 CrowdStrike_[WORKSTATIONNAME].evtx ,然后单击 保存

更改文件名并保存

提醒:Dell Technologies 建议指定 [WORKSTATIONNAME] 以防问题发生在多个端点上。
禁用
  1. 登录 受影响的端点。
  2. 右键单击Windows开始菜单,然后选择Run(运行)。

运行

  1. 在“运行”用户界面 (UI) 中,键入 regedit ,然后按 CTRL+SHIFT+ENTER 以管理员身份运行 Registry Editor。

“运行”UI

  1. 如果启用了用户帐户控制 (UAC),则单击 Yes。否则,转至步骤 5。

用户帐户控制提示

  1. 请转至 [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]

Registry

  1. Delete 键,键入 0,然后单击 “确定”。

编辑二进制值

  1. 单击文件,然后选择退出

退出注册表

用户可以通过收集以下信息对 Mac 上的 CrowdStrike Falcon Sensor 进行故障处理:

  • 安装 日志:用于对安装问题进行故障处理。
  • 产品 日志:用于对激活、通信和行为问题进行故障处理。

单击相应的日志类型以了解更多信息。

安装

CrowdStrike Falcon Sensor使用本机install.log来记录安装信息。

  1. 从Apple菜单中,单击“Go”(转至),然后选择Go to Folder(转至文件夹)。

转至文件夹

  1. 键入 /var/log ,然后单击 转至

转到文件夹 UI

  1. 复制 Install.log 到随时可用的位置进行进一步调查。

install.log

提醒:Dell Technologies 建议搜索“CrowdStrike”,以确保信息与 CrowdStrike 相关。

产品

建议 启用 详细模式,然后在 捕获 产品日志之前重现问题。解决问题后,建议 禁用 详细模式。单击相应的过程以了解更多信息。

启用
警告:
  • Dell Technologies 建议仅在对问题进行故障处理时启用详细模式。
  • Dell Technologies 建议在解决问题后禁用详细模式。
  • 在启用详细模式时,端点可能会遇到性能下降的问题。
  1. 登录到受影响的端点。
  2. 在Apple菜单中,单击Go(转至),然后选择Utilities(实用程序)。

实用程序

  1. 双击 Terminal

终端

  1. 在终端中,键入 sudo sysctl cs.feature=3 然后按 Enter。
  2. 填充以下项的 密码sudo,然后按 Enter 键。

终端填充 sudo 密码

  1. 确认 cs.feature=3

终端用户界面

提醒:在启用日志记录后,重现该问题。
捕获
  1. 登录 受影响的端点。
  2. 在Apple菜单中,单击Go(转至),然后选择Utilities(实用程序)。

实用程序

  1. 双击 Terminal

终端

  1. 在终端中,键入 sudo /Library/CS/falconctl diagnose 然后按 Enter。
  2. 填充以下项的密码: sudo,然后按 Enter 键。

终端填充 sudo 密码

  1. 几分钟后, falconctl_diagnose.tgz 将在以下位置生成: /private/tmp
禁用
  1. 登录到受影响的端点。
  2. 在Apple菜单中,单击Go(转至),然后选择Utilities(实用程序)。

实用程序

  1. 双击 Terminal

终端

  1. 在终端中,键入 sudo sysctl cs.feature=0 然后按 Enter。
  2. 填充以下项的密码: sudo,然后按 Enter 键。

终端填充 sudo 密码

  1. 确认 cs.feature=0

终端用户界面

  1. 登录到受影响的端点。
  2. 打开 Linux 终端

终端

提醒:对于各种 Linux 发行版本,用户界面 (UI) 布局可能会有所不同。
  1. 在终端中,键入 su root 然后按 Enter。
  2. 填充以下项的 密码 sudo,然后按 Enter 键。

终端填充 sudo 密码

  1. 键入 sudo mkdir /tmp/CrowdStrike 然后按 Enter。

终端制作目录

提醒:示例 /tmp/CrowdStrike 可以在您的环境中修改目录。
  1. 键入 sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt 然后按 Enter。
  2. 键入 sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt 然后按 Enter。
  3. 键入 sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt 然后按 Enter。
  4. 键入 sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt 然后按 Enter。

终端用户界面

提醒:Linux 分发版可能没有所有列出的目录。
  1. 捕获内的所有输出文件 /tmp/CrowdStrike (步骤 5)。

终端捕获输出

提醒:
  • 默认情况下,在Linux分发版上禁用SSH。
  • 一旦启用 SSH,可使用第三方软件(例如,PuTTY)连接到 Linux 端点。

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.