Как собрать журналы датчика CrowdStrike Falcon

Summary: Узнайте, как собирать журналы датчика CrowdStrike Falcon для поиска и устранения неисправностей. Пошаговые руководства доступны для Windows, Mac и Linux.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

В этой статье описываются способы сбора журналов для датчика CrowdStrike Falcon.

Затронутые продукты:

  • CrowdStrike Falcon Sensor

Затронутые операционные системы:

  • Windows
  • Mac
  • Linux

Cause

Неприменимо

Resolution

Настоятельно рекомендуется выполнять сбор журналов перед поиском и устранением неисправностей датчика CrowdStrike Falcon или обращением в службу поддержки Dell.

Примечание.: Для получения дополнительной информации об обращении в службу поддержки Dell см. номера телефонов международной службы поддержки Dell Data Security.

Нажмите Windows, Mac или Linux для получения соответствующей информации журнала.

Пользователь может устранить неполадки датчика CrowdStrike Falcon в Windows, вручную собрав журналы для:

  • Журналы MSI : используются для устранения неполадок установки.
  • Журналы продукта : используются для устранения проблем с активацией, коммуникациями и поведением.

Выберите нужный тип журналов, чтобы ознакомиться с дополнительными сведениями.

MSI

  1. Войдите в затронутую конечную точку.
  2. Нажмите правой кнопкой мыши меню Windows «Пуск» и выберите пункт Выполнить.

Выполнить

  1. В пользовательском интерфейсе (UI) «Выполнить» введите одно из следующих значений.
    • При установке пользователем. %LOCALAPPDATA%\Temp , а затем нажмите кнопку ОК.
    • При установке с помощью автоматического обновления. %SYSTEMROOT%\Temp , а затем нажмите кнопку ОК.

Пользовательский интерфейс «Выполнить»

  1. Соберите:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

На рисунке показан пример файлов журнала.

Примечание.:
  • [TIMESTAMP] = Дата и время установки
  • [BIT] = Представляет Agent32 или Agent64

Продукт

Рекомендуется включить подробность, а затем воспроизвести проблему перед сбором журналов продукта. После устранения проблемы рекомендуется отключить подробности. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

Включение
Предупреждение.
  • Dell Technologies рекомендует включать подробный ввод информации только при устранении неполадок.
  • Dell Technologies рекомендует отключить подробности после устранения проблемы.
  • При включенных подробных сведениях может наблюдаться снижение производительности конечных точек.
  1. Войдите в затронутую конечную точку.
  2. Нажмите правой кнопкой мыши меню Windows «Пуск» и выберите пункт Выполнить.

Выполнить

  1. В пользовательском интерфейсе (UI) «Выполнить» введите regedit , а затем нажмите клавиши CTRL+SHIFT+ENTER, чтобы запустить редактор реестра от имени администратора.

Пользовательский интерфейс «Выполнить»

  1. Если включен контроль учетных записей (UAC), нажмите Yes. В противном случае перейдите к шагу 5.

Запрос контроля учетных записей пользователей

  1. Перейти к [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Реестр

  1. Двойной щелчок AFLAGS.

AFLAGS в реестре

  1. Нажмите Delete, введите 03, а затем нажмите кнопку ОК.

Экран редактирования двоичного значения

  1. Нажмите Файл и выберите Выход.

Выход из редактора реестра

Примечание.: После включения ведения журнала воспроизведите проблему.
Capture
  1. Войдите в затронутую конечную точку.
  2. Нажмите правой кнопкой мыши меню Windows «Пуск» и выберите пункт Выполнить.

Выполнить

  1. В пользовательском интерфейсе (UI) «Выполнить» введите eventvwr , а затем нажмите кнопку ОК.

Пользовательский интерфейс «Выполнить»

  1. В средстве просмотра событий разверните раздел Журналы Windows и нажмите Система.

Журналы Windows и система

  1. Правой кнопкой мыши нажмите на журнал системы и выберите пункт Фильтровать текущий журнал.

Фильтровать текущий журнал

  1. Установите для параметра «Source » значение CSAgent.

Установка CSAgent для источника событий

  1. Правой кнопкой мыши нажмите на системный журнал и выберите пункт Сохранить файл отфильтрованного журнала как.

Сохранить отфильтрованный файл журнала как

  1. Измените имя файла на CrowdStrike_[WORKSTATIONNAME].evtx , а затем нажмите кнопку Сохранить.

Изменение имени файла и сохранение

Примечание.: Dell Technologies рекомендует указать [WORKSTATIONNAME] Если проблема возникает на нескольких конечных точках.
Отключение
  1. Войдите в затронутую конечную точку.
  2. Нажмите правой кнопкой мыши меню Windows «Пуск» и выберите пункт Выполнить.

Выполнить

  1. В пользовательском интерфейсе (UI) «Выполнить» введите regedit , а затем нажмите клавиши CTRL+SHIFT+ENTER, чтобы запустить редактор реестра от имени администратора.

Пользовательский интерфейс «Выполнить»

  1. Если включен контроль учетных записей (UAC), нажмите Yes. В противном случае перейдите к шагу 5.

Запрос контроля учетных записей пользователей

  1. Перейдите на страницу [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Реестр

  1. Нажмите Delete, введите 0, а затем нажмите кнопку ОК.

Редактировать двоичное значение

  1. Нажмите Файл и выберите Выход.

Выход из реестра

Пользователь может устранить неполадки датчика CrowdStrike Falcon на Mac, собрав:

Выберите нужный тип журналов, чтобы ознакомиться с дополнительными сведениями.

Установить

Датчик CrowdStrike Falcon использует собственный файл install.log для регистрации сведений об установке.

  1. В меню Apple нажмите «Перейти», затем выберите Перейти в папку.

Перейти в папку

  1. Введите /var/log , а затем нажмите кнопку Перейти.

Перейти к пользовательскому интерфейсу папки

  1. Копировать Install.log в легкодоступное место для дальнейшего изучения.

install.log

Примечание.: Dell Technologies рекомендует выполнить поиск по слову «CrowdStrike», чтобы убедиться, что информация имеет отношение к CrowdStrike.

Продукт

Рекомендуется включить подробность, а затем воспроизвести проблему перед сбором журналов продукта. После устранения проблемы рекомендуется отключить подробности. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

Включение
Предупреждение.
  • Dell Technologies рекомендует включать подробный ввод информации только при устранении неполадок.
  • Dell Technologies рекомендует отключить подробности после устранения проблемы.
  • При включенных подробных сведениях может наблюдаться снижение производительности конечных точек.
  1. Войдите в систему затронутой конечной точки.
  2. В меню Apple нажмите Перейти и выберите пункт Утилиты.

Утилиты

  1. Дважды нажмите Terminal.

Терминал

  1. В терминале введите sudo sysctl cs.feature=3 и затем нажмите клавишу Enter.
  2. Введите пароль для sudo, а затем нажмите клавишу Enter.

Заполнение пароля sudo в терминале

  1. Confirm cs.feature=3.

Интерфейс пользователя терминала

Примечание.: После включения ведения журнала воспроизведите проблему.
Capture
  1. Войдите в затронутую конечную точку.
  2. В меню Apple нажмите Перейти и выберите пункт Утилиты.

Утилиты

  1. Дважды нажмите Terminal.

Терминал

  1. В терминале введите sudo /Library/CS/falconctl diagnose и затем нажмите клавишу Enter.
  2. Введите пароль для sudo, а затем нажмите клавишу Enter.

Терминал заполняет пароль sudo

  1. Через несколько минут falconctl_diagnose.tgz будет сгенерирован в /private/tmp.
Отключение
  1. Войдите в систему затронутой конечной точки.
  2. В меню Apple нажмите Перейти и выберите пункт Утилиты.

Утилиты

  1. Дважды нажмите Terminal.

Терминал

  1. В терминале введите sudo sysctl cs.feature=0 и затем нажмите клавишу Enter.
  2. Введите пароль для sudo, а затем нажмите клавишу Enter.

Терминал заполняет пароль sudo

  1. Confirm cs.feature=0.

Интерфейс пользователя терминала

  1. Войдите в систему затронутой конечной точки.
  2. Откройте Terminal в Linux.

Терминал

Примечание.: Структура пользовательского интерфейса (UI) может отличаться в зависимости от дистрибутива Linux.
  1. В терминале введите su root и затем нажмите клавишу Enter.
  2. Введите пароль для sudo, а затем нажмите клавишу Enter.

Заполнение пароля sudo в терминале

  1. Введите sudo mkdir /tmp/CrowdStrike и затем нажмите клавишу Enter.

Каталог создания терминала

Примечание.: Пример /tmp/CrowdStrike Каталог может быть изменен в вашей среде.
  1. Введите sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt и затем нажмите клавишу Enter.
  2. Введите sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt и затем нажмите клавишу Enter.
  3. Введите sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt и затем нажмите клавишу Enter.
  4. Введите sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt и затем нажмите клавишу Enter.

Интерфейс пользователя терминала

Примечание.: Дистрибутивы Linux могут содержать не все перечисленные каталоги.
  1. Запишите все выходные файлы в /tmp/CrowdStrike (Шаг 5) с помощью SSH.

Терминал захватывает выходные данные

Примечание.:
  • По умолчанию протокол SSH отключен в дистрибутивах Linux.
  • Включив SSH, можно использовать программное обеспечение сторонних производителей (например, PuTTY) для подключения к конечной точке Linux.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.