Anleitung zum Erfassen der Protokolle von CrowdStrike Falcon Sensor

Summary: Erfahren Sie, wie Sie CrowdStrike Falcon Sensor-Protokolle für das Troubleshooting erfassen können. Schritt-für-Schritt-Anleitungen sind für Windows, Mac und Linux verfügbar.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

In diesem Artikel werden die Methoden zum Erfassen von Protokollen für den CrowdStrike Falcon Sensor beschrieben.

Betroffene Produkte:

  • CrowdStrike Falcon Sensor

Betroffene Betriebssysteme:

  • Windows
  • Mac
  • Linux

Cause

Unzutreffend

Resolution

Es wird dringend empfohlen, Protokolle zu erfassen, bevor Sie eine Fehlerbehebung für CrowdStrike Falcon Sensor durchführen oder sich an den Dell Support wenden.

Hinweis: Weitere Informationen zur Kontaktaufnahme mit dem Support von Dell finden Sie unter Internationale Support-Telefonnummern von Dell Data Security.

Klicken Sie auf Windows, Mac oder Linux , um relevante Protokollierungsinformationen anzuzeigen.

Ein Nutzer kann das Troubleshooting für CrowdStrike Falcon Sensor unter Windows durchführen, indem er für Folgendes manuell Protokolle sammelt:

  • MSI-Protokolle : Werden für das Troubleshooting von Installationsproblemen verwendet.
  • Produktprotokolle : Werden für das Troubleshooting bei Problemen mit Aktivierung, Kommunikation und Verhalten verwendet.

Klicken Sie auf den entsprechenden Protokollierungstyp, um weitere Informationen zu erhalten.

MSI

  1. Melden Sie sich beim betroffenen Endpunkt an .
  2. Klicken Sie mit der rechten Maustaste auf das Startmenü von Windows und wählen Sie Ausführen aus.

Führen Sie

  1. Geben Sie in der Benutzeroberfläche (UI) eine der beiden Optionen ein:
    • Wenn vom Nutzer installiert: %LOCALAPPDATA%\Temp und klicken Sie dann auf OK.
    • Wenn installiert durch automatisches Update: %SYSTEMROOT%\Temp und klicken Sie dann auf OK.

UI „Ausführen“

  1. Sammeln:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Das Bild zeigt beispielhafte Protokolldateien.

Hinweis:
  • [TIMESTAMP] = Datum und Uhrzeit der Installation
  • [BIT] = Stellt entweder Agent32 oder Agent64 dar

Produkt

Es wird empfohlen, die Ausführlichkeit zu aktivieren und das Problem dann vor der Erfassung von Produktprotokollen zu reproduzieren. Sobald das Problem behoben ist, wird empfohlen, Ausführlichkeit zu deaktivieren . Klicken Sie auf den entsprechenden Prozess für weitere Informationen.

Aktivieren
Warnung:
  • Dell Technologies empfiehlt, die Ausführlichkeit nur bei der Fehlerbehebung zu aktivieren.
  • Dell Technologies empfiehlt, die Ausführlichkeit zu deaktivieren, nachdem das Problem behoben wurde.
  • Bei Endpunkten kann die Leistung beeinträchtigt werden, wenn Ausführlichkeit aktiviert ist.
  1. Melden Sie sich beim betroffenen Endpunkt an .
  2. Klicken Sie mit der rechten Maustaste auf das Startmenü von Windows und wählen Sie Ausführen aus.

Führen Sie

  1. Geben Sie in der Benutzeroberfläche Ausführen (UI) Folgendes ein regedit und drücken Sie dann STRG+UMSCHALT+EINGABETASTE, um den Registrierungs-Editor als Administrator auszuführen.

UI „Ausführen“

  1. Wenn die Nutzerkontensteuerung aktiviert ist, klicken Sie auf Ja. Andernfalls fahren Sie mit Schritt 5 fort.

Nutzerkontensteuerung

  1. Gehe zu [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registrierung

  1. Doppelklicken Sie AFLAGS.

AFLAGS im Register

  1. Drücken Sie die Entf-Taste und geben Sie Folgendes ein: 03, und klicken Sie dann auf OK.

Bildschirm

  1. Klicken Sie auf Datei und wählen Sie Beenden.

Beenden des Registrierungseditors

Hinweis: Sobald die Protokollierung aktiviert, reproduzieren Sie das Problem.
Erfassung
  1. Melden Sie sich beim betroffenen Endpunkt an .
  2. Klicken Sie mit der rechten Maustaste auf das Startmenü von Windows und wählen Sie Ausführen aus.

Führen Sie

  1. Geben Sie in der Benutzeroberfläche Ausführen (UI) Folgendes ein eventvwr und klicken Sie dann auf OK.

UI „Ausführen“

  1. Erweitern Sie in der Ereignisanzeige Windows-Protokolle und klicken Sie dann auf System.

Windows-Protokolle und -System

  1. Klicken Sie mit der rechten Maustaste auf das Systemprotokoll und wählen Sie dann Aktuelles Protokoll filtern aus.

Aktuelles Protokoll filtern

  1. Legen Sie die Quelle fest auf CSAgent.

Festlegen der Ereignisquelle auf CSAgent

  1. Klicken Sie mit der rechten Maustaste auf das Systemprotokoll und wählen Sie dann Gefilterte Protokolldatei speichern unter aus.

Gefilterte Protokolldatei speichern unter

  1. Ändern Sie den Dateinamen in CrowdStrike_[WORKSTATIONNAME].evtx und klicken Sie dann auf Speichern.

Ändern des Dateinamens und Speichern

Hinweis: Dell Technologies empfiehlt, die [WORKSTATIONNAME] Für den Fall, dass das Problem auf mehreren Endpunkten auftritt.
Deaktiveren
  1. Melden Sie sich beim betroffenen Endpunkt an .
  2. Klicken Sie mit der rechten Maustaste auf das Startmenü von Windows und wählen Sie Ausführen aus.

Führen Sie

  1. Geben Sie in der Benutzeroberfläche Ausführen (UI) Folgendes ein regedit und drücken Sie dann STRG+UMSCHALT+EINGABETASTE, um den Registrierungs-Editor als Administrator auszuführen.

UI „Ausführen“

  1. Wenn die Nutzerkontensteuerung aktiviert ist, klicken Sie auf Ja. Andernfalls fahren Sie mit Schritt 5 fort.

Nutzerkontensteuerung

  1. Gehen Sie zu [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registrierung

  1. Drücken Sie die Entf-Taste und geben Sie Folgendes ein: 0, und klicken Sie dann auf OK.

Binärwert bearbeiten

  1. Klicken Sie auf Datei und wählen Sie Beenden.

Beenden der Registrierung

Ein Nutzer kann für CrowdStrike Falcon Sensor auf dem Mac eine Fehlerbehebung durchführen, indem er Folgendes erfasst:

  • Protokolle installieren : Werden für das Troubleshooting von Installationsproblemen verwendet.
  • Produktprotokolle : Werden für das Troubleshooting bei Problemen mit Aktivierung, Kommunikation und Verhalten verwendet.

Klicken Sie auf den entsprechenden Protokollierungstyp, um weitere Informationen zu erhalten.

Installation

CrowdStrike Falcon Sensor verwendet "native install.log", um Installationsinformationen zu dokumentieren.

  1. Klicken Sie im Apple-Menü auf "Start" und Gehe zu Ordner.

Navigieren Sie zum Ordner

  1. Geben Sie /var/log und klicken Sie dann auf Los.

Navigieren Sie zur Ordner-Benutzeroberfläche

  1. Kopieren Install.log an einen leicht zugänglichen Ort für weitere Untersuchungen.

install.log

Hinweis: Dell Technologies empfiehlt, nach "CrowdStrike" zu suchen, um sicherzustellen, dass die Informationen für CrowdStrike relevant sind.

Produkt

Es wird empfohlen, die Ausführlichkeit zu aktivieren und das Problem dann vor der Erfassung von Produktprotokollen zu reproduzieren. Sobald das Problem behoben ist, wird empfohlen, Ausführlichkeit zu deaktivieren . Klicken Sie auf den entsprechenden Prozess für weitere Informationen.

Aktivieren
Warnung:
  • Dell Technologies empfiehlt, die Ausführlichkeit nur bei der Fehlerbehebung zu aktivieren.
  • Dell Technologies empfiehlt, die Ausführlichkeit zu deaktivieren, nachdem das Problem behoben wurde.
  • Bei Endpunkten kann die Leistung beeinträchtigt werden, wenn Ausführlichkeit aktiviert ist.
  1. Melden Sie sich am betroffenen Endpunkt an.
  2. Klicken Sie im Apple-Menü auf Start und wählen Sie Dienstprogramme.

Utilities

  1. Doppelklicken Sie auf Terminal.

Terminal

  1. Geben Sie im Terminal sudo sysctl cs.feature=3 ein, und drücken Sie anschließend die Eingabetaste.
  2. Geben Sie das Kennwort ein für sudo, und drücken Sie dann die Eingabetaste.

Terminal füllt sudo-Kennwort aus

  1. Bestätigen cs.feature=3.

Terminal-Benutzeroberfläche

Hinweis: Sobald die Protokollierung aktiviert, reproduzieren Sie das Problem.
Erfassung
  1. Melden Sie sich beim betroffenen Endpunkt an .
  2. Klicken Sie im Apple-Menü auf Start und wählen Sie Dienstprogramme.

Utilities

  1. Doppelklicken Sie auf Terminal.

Terminal

  1. Geben Sie im Terminal sudo /Library/CS/falconctl diagnose ein, und drücken Sie anschließend die Eingabetaste.
  2. Geben Sie das Kennwort ein für sudo, und drücken Sie dann die Eingabetaste.

Terminal füllt das sudo-Kennwort aus

  1. Nach einigen Minuten falconctl_diagnose.tgz wird generiert in /private/tmp.
Deaktiveren
  1. Melden Sie sich am betroffenen Endpunkt an.
  2. Klicken Sie im Apple-Menü auf Start und wählen Sie Dienstprogramme.

Utilities

  1. Doppelklicken Sie auf Terminal.

Terminal

  1. Geben Sie im Terminal sudo sysctl cs.feature=0 ein, und drücken Sie anschließend die Eingabetaste.
  2. Geben Sie das Kennwort ein für sudo, und drücken Sie dann die Eingabetaste.

Terminal füllt das sudo-Kennwort aus

  1. Bestätigen cs.feature=0.

Terminal-Benutzeroberfläche

  1. Melden Sie sich am betroffenen Endpunkt an.
  2. Öffnen Sie das Linux Terminal.

Terminal

Hinweis: Das Layout der Benutzeroberfläche (UI) kann sich zwischen Linux-Distributionen unterscheiden.
  1. Geben Sie im Terminal su root ein, und drücken Sie anschließend die Eingabetaste.
  2. Geben Sie das Kennwort ein für sudo, und drücken Sie dann die Eingabetaste.

Terminal füllt sudo-Kennwort aus

  1. Geben Sie sudo mkdir /tmp/CrowdStrike ein, und drücken Sie anschließend die Eingabetaste.

Terminal-Erstellungsverzeichnis

Hinweis: Das Beispiel /tmp/CrowdStrike Das Verzeichnis kann in Ihrer Umgebung geändert werden.
  1. Geben Sie sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt ein, und drücken Sie anschließend die Eingabetaste.
  2. Geben Sie sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt ein, und drücken Sie anschließend die Eingabetaste.
  3. Geben Sie sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt ein, und drücken Sie anschließend die Eingabetaste.
  4. Geben Sie sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt ein, und drücken Sie anschließend die Eingabetaste.

Terminal-Benutzeroberfläche

Hinweis: Linux-Distributionen enthalten möglicherweise nicht alle aufgeführten Verzeichnisse.
  1. Erfassen Sie alle Ausgabedateien in /tmp/CrowdStrike (Schritt 5) über SSH.

Terminalerfassungsausgabe

Hinweis:
  • SSH ist standardmäßig in Linux-Distributionen deaktiviert.
  • Sobald SSH aktiviert ist, kann Drittanbieter-Software (z. B. PuTTY) für die Verbindung mit des Linux-Endpunkt verwendet werden.

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.