Sådan indsamles CrowdStrike Falcon Sensor-logfiler

Summary: Få mere at vide om, hvordan du indsamler CrowdStrike Falcon-sensorlogfiler til fejlfinding. Trinvise vejledninger er tilgængelige til Windows, Mac og Linux.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Denne artikel diskuterer metoderne til indsamling af logfiler til CrowdStrike Falcon Sensor.

Berørte produkter:

  • CrowdStrike Falcon Sensor

Påvirkede operativsystemer:

  • Windows
  • Mac
  • Linux

Cause

Ikke relevant

Resolution

Det anbefales på det kraftigste at indsamle logfiler, før du foretager fejlfinding af CrowdStrike Falcon-sensoren eller kontakter Dells support.

Bemærk: Du kan finde flere oplysninger om, hvordan du kontakter Dells support, i Telefonnumre til Dell Data Security International Support.

Klik på Windows, Mac eller Linux for at få relevante logføringsoplysninger.

En bruger kan fejlfinde CrowdStrike Falcon Sensor på Windows ved manuelt at indsamle logfiler for:

  • MSI-logfiler : Bruges til fejlfinding af installationsproblemer.
  • Produktlogfiler : Bruges til fejlfinding af aktiverings-, kommunikations- og adfærdsproblemer.

Klik på den pågældende logføringstype for at få flere oplysninger.

MSI

  1. Log på det berørte slutpunkt.
  2. Højreklik på startmenuen i Windows, og vælg herefter Kør.

Kør

  1. Skriv i brugergrænsefladen Kør enten:
    • Hvis installeret af brugeren: %LOCALAPPDATA%\Temp og klik derefter på OK.
    • Hvis installeret af automatisk opdatering: %SYSTEMROOT%\Temp og klik derefter på OK.

Brugergrænsefladen Kør

  1. Indsaml:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Billedet viser eksempellogfiler.

Bemærk:
  • [TIMESTAMP] = Dato og klokkeslæt for installationen
  • [BIT] = Repræsenterer enten Agent32 eller Agent64

Produkt

Det anbefales at aktivere omfang og derefter genskabe problemet før registrering af produktlogfiler. Når problemet er løst, anbefales det at deaktivere omfang. Klik på den relevante proces for at få flere oplysninger.

Aktiver
Advarsel:
  • Dell Technologies anbefaler, at du kun aktiverer omfangsbeskyttelse ved fejlfinding af et problem.
  • Dell Technologies anbefaler, at du deaktiverer omfanget, når problemet er løst.
  • Slutpunkter kan opleve en ydelsesnedsættelse, mens informationsmængden er aktiveret.
  1. Log på det berørte slutpunkt.
  2. Højreklik på startmenuen i Windows, og vælg herefter Kør.

Kør

  1. I brugergrænsefladen Kør skal du skrive regedit og derefter trykke på CTRL+SKIFT+ENTER for at køre registreringseditoren som administrator.

Brugergrænsefladen Kør

  1. Hvis Kontrol af brugerkonto (UAC) er aktiveret, skal du klikke på Ja. Ellers skal du gå til trin 5.

Prompt til kontrol af brugerkonti

  1. Gå til [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registreringsdatabasen

  1. Dobbeltklik AFLAGS.

AFLAGS i registreringsdatabasen

  1. Tryk på Delete, skriv 03, og klik derefter på OK.

Skærmbilledet Rediger binær værdi

  1. Klik på Fil, og vælg derefter Afslut.

Afslut Registreringseditor

Bemærk: Når logføring er aktiveret, skal du genskabe problemet.
Registrering
  1. Log på det berørte slutpunkt.
  2. Højreklik på startmenuen i Windows, og vælg herefter Kør.

Kør

  1. I brugergrænsefladen Kør skal du skrive eventvwr og klik derefter på OK.

Brugergrænsefladen Kør

  1. Udvid Windows-logfiler i Logbog , og klik derefter på System.

Windows-logfiler og -system

  1. Højreklik på systemloggen, og vælg derefter Filtrer den aktuelle logfil.

Filtrer den aktuelle logfil

  1. Indstil kilden til CSAgent.

Indstilling af hændelseskilde til CSAgent

  1. Højreklik på systemloggen, og vælg derefter Gem filtreret logfil som.

Gem filtreret logfil som

  1. Skift filnavn til CrowdStrike_[WORKSTATIONNAME].evtx og derefter klikke på Gem.

Ændre filnavn og gemme

Bemærk: Dell Technologies anbefaler, at du specificerer [WORKSTATIONNAME] i tilfælde af, at problemet opstår på flere slutpunkter.
Deaktiver
  1. Log på det berørte slutpunkt.
  2. Højreklik på startmenuen i Windows, og vælg herefter Kør.

Kør

  1. I brugergrænsefladen Kør skal du skrive regedit og derefter trykke på CTRL+SKIFT+ENTER for at køre registreringseditoren som administrator.

Brugergrænsefladen Kør

  1. Hvis Kontrol af brugerkonto (UAC) er aktiveret, skal du klikke på Ja. Ellers skal du gå til trin 5.

Prompt til kontrol af brugerkonti

  1. Gå til [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registreringsdatabasen

  1. Tryk på Delete, skriv 0, og klik derefter på OK.

Rediger binær værdi

  1. Klik på Fil, og vælg derefter Afslut.

Afslutning af registreringsdatabasen

En bruger kan fejlfinde CrowdStrike Falcon Sensor på Mac ved at indsamle:

  • Installer logfiler: Bruges til fejlfinding af installationsproblemer.
  • Produktlogfiler : Bruges til fejlfinding af aktiverings-, kommunikations- og adfærdsproblemer.

Klik på den relevante logtype for at få flere oplysninger.

Installer

CrowdStrike Falcon Sensor anvender den oprindelige install.log til at dokumentere installationsoplysninger.

  1. I Apple-menuen skal du klikke på Start og derefter vælge Gå til mappe.

Gå til mappe

  1. Skriv /var/log , og klik derefter på .

Gå til mappens brugergrænseflade

  1. Kopier Install.log til et let tilgængeligt sted med henblik på yderligere undersøgelser.

install.log

Bemærk: Dell Technologies anbefaler, at du søger efter "CrowdStrike" for at sikre, at oplysningerne er relevante for CrowdStrike.

Produkt

Det anbefales at aktivere omfang og derefter genskabe problemet før registrering af produktlogfiler. Når problemet er løst, anbefales det at deaktivere omfang. Klik på den relevante proces for at få flere oplysninger.

Aktiver
Advarsel:
  • Dell Technologies anbefaler, at du kun aktiverer omfangsbeskyttelse ved fejlfinding af et problem.
  • Dell Technologies anbefaler, at du deaktiverer omfanget, når problemet er løst.
  • Slutpunkter kan opleve en ydelsesnedsættelse, mens informationsmængden er aktiveret.
  1. Log på det berørte slutpunkt.
  2. I Apple-menuen skal du klikke på Start og derefter vælge Hjælpeprogrammer.

Hjælpeprogrammer

  1. Dobbeltklik på Terminal.

Terminal

  1. Skriv i Terminal sudo sysctl cs.feature=3 og derefter trykke på Enter.
  2. Udfyld adgangskoden til sudo, og tryk derefter på Enter.

Terminal, der udfylder sudo-adgangskode

  1. Bekræfte cs.feature=3.

Terminalbrugergrænseflade

Bemærk: Når logføring er aktiveret, skal du genskabe problemet.
Registrering
  1. Log på det berørte slutpunkt.
  2. I Apple-menuen skal du klikke på Start og derefter vælge Hjælpeprogrammer.

Hjælpeprogrammer

  1. Dobbeltklik på Terminal.

Terminal

  1. Skriv i Terminal sudo /Library/CS/falconctl diagnose og derefter trykke på Enter.
  2. Udfyld adgangskoden til sudo, og tryk derefter på Enter.

Terminal, der udfylder sudo-adgangskoden

  1. Efter flere minutter, falconctl_diagnose.tgz vil blive genereret i /private/tmp.
Deaktiver
  1. Log på det berørte slutpunkt.
  2. I Apple-menuen skal du klikke på Start og derefter vælge Hjælpeprogrammer.

Hjælpeprogrammer

  1. Dobbeltklik på Terminal.

Terminal

  1. Skriv i Terminal sudo sysctl cs.feature=0 og derefter trykke på Enter.
  2. Udfyld adgangskoden til sudo, og tryk derefter på Enter.

Terminal, der udfylder sudo-adgangskoden

  1. Bekræfte cs.feature=0.

Terminalbrugergrænseflade

  1. Log på det berørte slutpunkt.
  2. Åbn Linux Terminal.

Terminal

Bemærk: Brugergrænsefladens layout kan variere mellem Linux-distributioner.
  1. Skriv i Terminal su root og derefter trykke på Enter.
  2. Udfyld adgangskoden til sudo, og tryk derefter på Enter.

Terminal, der udfylder sudo-adgangskode

  1. Skriv sudo mkdir /tmp/CrowdStrike og derefter trykke på Enter.

Bibliotek til fremstilling af terminaler

Bemærk: Eksemplet /tmp/CrowdStrike Mappen kan ændres i dit miljø.
  1. Skriv sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt og derefter trykke på Enter.
  2. Skriv sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt og derefter trykke på Enter.
  3. Skriv sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt og derefter trykke på Enter.
  4. Skriv sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt og derefter trykke på Enter.

Terminalbrugergrænseflade

Bemærk: Linux-distributioner har muligvis ikke alle anførte mapper.
  1. Optag alle outputfiler indeni /tmp/CrowdStrike (Trin 5) ved hjælp af SSH.

Terminal, der fanger output

Bemærk:
  • Som standard er SSH deaktiveret på Linux-distributioner.
  • Når SSH er aktiveret, kan tredjepartssoftware (såsom PuTTY) bruges til at oprette forbindelse til Linux-slutpunktet.

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.