Comment collecter les journaux de CrowdStrike Falcon Sensor

Summary: Découvrez comment collecter les journaux CrowdStrike Falcon Sensor à des fins de dépannage. Des guides étape par étape sont disponibles pour Windows, Mac et Linux.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Cet article présente les méthodes de collecte des journaux pour CrowdStrike Falcon Sensor.

Produits concernés :

  • CrowdStrike Falcon Sensor

Systèmes d’exploitation concernés :

  • Windows
  • Mac
  • Linux

Cause

Sans objet

Resolution

Il est vivement recommandé de collecter les journaux avant de procéder au dépannage de CrowdStrike Falcon Sensor ou de contacter le support Dell.

Remarque : pour obtenir plus d’informations sur la façon de contacter le support Dell, consultez l’article Numéros de téléphone du support international Dell Data Security.

Cliquez sur Windows, Mac ou Linux pour obtenir les informations de connexion pertinentes.

Un utilisateur peut dépanner CrowdStrike Falcon Sensor sous Windows en collectant manuellement les journaux pour :

  • Journaux MSI : utilisés pour résoudre les problèmes d’installation.
  • Journaux de produit : utilisés pour résoudre des problèmes d’activation, de communication et de comportement.

Cliquez sur le type de journalisation approprié pour obtenir plus d’informations.

MSI

  1. Connectez-vous au point de terminaison concerné.
  2. Cliquez avec le bouton droit de la souris sur le menu Démarrer de Windows, puis sélectionnez Exécuter.

Exécuter

  1. Dans l’interface d’exécution utilisateur (UI), saisissez :
    • S’il est installé par l’utilisateur : %LOCALAPPDATA%\Temp puis cliquez sur OK.
    • S’il est installé par mise à jour automatique : %SYSTEMROOT%\Temp puis cliquez sur OK.

Interface d’exécution

  1. Collecter :
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

L’image illustre des exemples de fichiers journaux.

Remarque :
  • [TIMESTAMP] = Date et heure de l’installation
  • [BIT] = Représente Agent32 ou Agent64

Product (Produit)

Il est recommandé d’activer le verbosité, puis de reproduire le problème avant la capture des journaux du produit. Une fois le problème résolu, il est recommandé de désactiver le verbosité. Cliquez sur le processus approprié pour obtenir plus d’informations.

Activer
Avertissement :
  • Dell Technologies recommande d’activer uniquement le mot de détail lors du dépannage d’un problème.
  • Dell Technologies recommande de désactiver le mot de détail une fois le problème résolu.
  • Les points de terminaison peuvent rencontrer une dégradation des performances lorsque le niveau de détail est activé.
  1. Connectez-vous au point de terminaison concerné.
  2. Cliquez avec le bouton droit de la souris sur le menu Démarrer de Windows, puis sélectionnez Exécuter.

Exécuter

  1. Dans l’interface utilisateur (UI) d’exécution, saisissez regedit puis appuyez sur CTRL+MAJ+ENTRÉE pour exécuter l’Éditeur du Registre en tant qu’administrateur.

Interface d’exécution

  1. Si le contrôle du compte utilisateur (UAC) est activé, cliquez sur Oui. Sinon, passez à l’étape 5.

Invite du Contrôle du compte d’utilisateur

  1. Atteindre [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registre

  1. Double clic AFLAGS.

AFLAGS dans le registre

  1. Appuyez sur Suppr et saisissez 03, puis cliquez sur OK.

Écran Modifier la valeur binaire

  1. Cliquez sur File (Fichier), puis sur Exit (Quitter).

Quitter l’éditeur du registre

Remarque : une fois que la journalisation est active, reproduisez le problème.
Capturer
  1. Connectez-vous au point de terminaison concerné.
  2. Cliquez avec le bouton droit de la souris sur le menu Démarrer de Windows, puis sélectionnez Exécuter.

Exécuter

  1. Dans l’interface utilisateur (UI) d’exécution, saisissez eventvwr puis cliquez sur OK.

Interface d’exécution

  1. Dans l’Observateur d’événements, développez Journaux Windows, puis cliquez sur Système.

Journaux et système Windows

  1. Cliquez avec le bouton droit de la souris sur le journal système, puis sélectionnez Filtrer le journal actuel.

Filtrer le journal actuel

  1. Définissez la Source sur CSAgent.

Définition de la source d’événements sur CSAgent

  1. Cliquez avec le bouton droit de la souris sur Journal système, puis sélectionnez Enregistrer le fichier journal filtré sous.

Enregistrer le fichier journal filtré sous

  1. Remplacez le nom du fichier par CrowdStrike_[WORKSTATIONNAME].evtx , puis cliquez sur Enregistrer.

Modification du nom du fichier et enregistrement

Remarque : Dell Technologies recommande de spécifier l’attribut [WORKSTATIONNAME] si le problème se produit sur plusieurs points de terminaison.
Désactivez
  1. Connectez-vous au point de terminaison concerné.
  2. Cliquez avec le bouton droit de la souris sur le menu Démarrer de Windows, puis sélectionnez Exécuter.

Exécuter

  1. Dans l’interface utilisateur (UI) d’exécution, saisissez regedit puis appuyez sur CTRL+MAJ+ENTRÉE pour exécuter l’Éditeur du Registre en tant qu’administrateur.

Interface d’exécution

  1. Si le contrôle du compte utilisateur (UAC) est activé, cliquez sur Oui. Sinon, passez à l’étape 5.

Invite du Contrôle du compte d’utilisateur

  1. Rendez-vous sur [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registre

  1. Appuyez sur Suppr et saisissez 0, puis cliquez sur OK.

Modifier la valeur binaire

  1. Cliquez sur File (Fichier), puis sur Exit (Quitter).

Quitter le registre

Un utilisateur peut dépanner CrowdStrike Falcon Sensor sur Mac en collectant :

  • Installer les journaux : utilisés pour résoudre les problèmes d’installation.
  • Journaux de produit : utilisés pour résoudre des problèmes d’activation, de communication et de comportement.

Cliquez sur le type de journaux approprié pour obtenir plus d’informations.

Installer

CrowdStrike Falcon Sensor utilise le fichier install.log natif pour rassembler les informations d’installation.

  1. Dans le menu Apple, cliquez sur Accéder, puis sélectionnez Accéder au dossier.

Accès au dossier

  1. Saisissez /var/log , puis cliquez sur Go.

Accédez à l’interface utilisateur du dossier

  1. Copier Install.log à un endroit facilement disponible pour une enquête plus approfondie.

install.log

Remarque : Dell Technologies recommande de rechercher « CrowdStrike » pour vous assurer que les informations sont pertinentes pour CrowdStrike.

Product (Produit)

Il est recommandé d’activer le verbosité, puis de reproduire le problème avant la capture des journaux du produit. Une fois le problème résolu, il est recommandé de désactiver le verbosité. Cliquez sur le processus approprié pour obtenir plus d’informations.

Activer
Avertissement :
  • Dell Technologies recommande d’activer uniquement le mot de détail lors du dépannage d’un problème.
  • Dell Technologies recommande de désactiver le mot de détail une fois le problème résolu.
  • Les points de terminaison peuvent rencontrer une dégradation des performances lorsque le niveau de détail est activé.
  1. Ouvrez une session sur le point de terminaison concerné.
  2. Dans le menu Apple, cliquez sur Accéder, puis sélectionnez Utilitaires.

Utilitaires

  1. Double cliquez sur Terminal.

Terminal

  1. Dans Terminal, saisissez sudo sysctl cs.feature=3 puis appuyez sur Entrée.
  2. Saisissez le mot de passe pour sudo, puis appuyez sur Entrée.

Terminal renseignant le mot de passe sudo

  1. Confirmer cs.feature=3.

Interface utilisateur du terminal

Remarque : une fois que la journalisation est active, reproduisez le problème.
Capturer
  1. Connectez-vous au point de terminaison concerné.
  2. Dans le menu Apple, cliquez sur Accéder, puis sélectionnez Utilitaires.

Utilitaires

  1. Double cliquez sur Terminal.

Terminal

  1. Dans Terminal, saisissez sudo /Library/CS/falconctl diagnose puis appuyez sur Entrée.
  2. Saisissez le mot de passe pour sudo, puis appuyez sur Entrée.

Terminal renseignant le mot de passe sudo

  1. Au bout de quelques minutes, falconctl_diagnose.tgz seront générés dans /private/tmp.
Désactivez
  1. Ouvrez une session sur le point de terminaison concerné.
  2. Dans le menu Apple, cliquez sur Accéder, puis sélectionnez Utilitaires.

Utilitaires

  1. Double cliquez sur Terminal.

Terminal

  1. Dans Terminal, saisissez sudo sysctl cs.feature=0 puis appuyez sur Entrée.
  2. Saisissez le mot de passe pour sudo, puis appuyez sur Entrée.

Terminal renseignant le mot de passe sudo

  1. Confirmer cs.feature=0.

Interface utilisateur du terminal

  1. Ouvrez une session sur le point de terminaison concerné.
  2. Ouvrez le terminal Linux.

Terminal

Remarque : La disposition de l’interface utilisateur peut différer selon les distributions Linux.
  1. Dans Terminal, saisissez su root puis appuyez sur Entrée.
  2. Saisissez le mot de passe pour sudo, puis appuyez sur Entrée.

Terminal renseignant le mot de passe sudo

  1. Saisissez sudo mkdir /tmp/CrowdStrike puis appuyez sur Entrée.

Répertoire de création de terminaux

Remarque : L’exemple /tmp/CrowdStrike répertoire peut être modifié dans votre environnement.
  1. Saisissez sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt puis appuyez sur Entrée.
  2. Saisissez sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt puis appuyez sur Entrée.
  3. Saisissez sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt puis appuyez sur Entrée.
  4. Saisissez sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt puis appuyez sur Entrée.

Interface utilisateur du terminal

Remarque : il est possible que les distributions Linux ne comportent pas tous les répertoires répertoriés.
  1. Capturez tous les fichiers de sortie dans /tmp/CrowdStrike (Étape 5) à l’aide de SSH.

Sortie de capture de terminal

Remarque :
  • Par défaut, le protocole SSH est désactivé sur les distributions Linux.
  • Une fois le protocole SSH activé, un logiciel tiers (comme PuTTY) peut être utilisé pour se connecter au point de terminaison Linux.

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.