Cómo recopilar los registros de CrowdStrike Falcon Sensor

Summary: Obtenga información sobre cómo recopilar los registros de CrowdStrike Falcon Sensor para la solución de problemas. Las guías paso a paso están disponibles para Windows, Mac y Linux.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

En este artículo, se analizan los métodos para recopilar registros para CrowdStrike Falcon Sensor.

Productos afectados:

  • CrowdStrike Falcon Sensor

Sistemas operativos afectados:

  • Windows
  • Mac
  • Linux

Cause

No corresponde

Resolution

Se recomienda encarecidamente recopilar registros antes de solucionar problemas de CrowdStrike Falcon Sensor o comunicarse con el soporte de Dell.

Nota: Para obtener más información sobre cómo contactarse con el soporte de Dell, consulte Números de teléfono de soporte internacionales de Dell Data Security.

Haga clic en Windows, Mac o Linux para obtener información de registro pertinente.

Un usuario puede solucionar problemas de CrowdStrike Falcon Sensor en Windows mediante la recopilación manual de registros para:

  • Registros de MSI: Se utiliza para solucionar problemas de instalación.
  • Registros de productos : Se utiliza para la solución de problemas de activación, comunicación y comportamiento.

Haga clic en el tipo de registro correspondiente para obtener más información.

MSI

  1. Inicie sesión en el terminal afectado.
  2. Haga clic con el botón derecho del mouse en el menú Inicio de Windows y seleccione Run (Ejecutar).

Ejecutar

  1. En la interfaz de usuario (IU) Run, escriba una de las siguientes opciones:
    • Si el usuario realiza la instalación: %LOCALAPPDATA%\Temp y, a continuación, haga clic en ACEPTAR.
    • Si se instala mediante la actualización automática: %SYSTEMROOT%\Temp y, a continuación, haga clic en ACEPTAR.

Interfaz de usuario de Ejecutar

  1. Recopilar:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

En la imagen, se muestran ejemplos de archivos de registro.

Nota:
  • [TIMESTAMP] = Fecha > hora de la instalación
  • [BIT] = Representa a Agent32 o Agent64

Producto

Se recomienda habilitar el nivel de detalle y, a continuación, reproducir el problema antes de capturar los registros del producto. Una vez que se resuelve el problema, se recomienda deshabilitar el detalle. Haga clic en el proceso correspondiente para obtener más información.

Habilitar
Advertencia:
  • Dell Technologies recomienda habilitar el nivel de detalle solo cuando se soluciona un problema.
  • Dell Technologies recomienda deshabilitar el detalle después de que se resuelva el problema.
  • Es posible que los puntos de conexión experimenten una degradación del rendimiento mientras los detalles estén habilitados.
  1. Inicie sesión en el terminal afectado.
  2. Haga clic con el botón derecho del mouse en el menú Inicio de Windows y seleccione Run (Ejecutar).

Ejecutar

  1. En run user interface (UI), escriba regedit y, a continuación, presione CTRL + MAYÚS + INTRO para ejecutar el editor del registro como administrador.

Interfaz de usuario de Ejecutar

  1. Si UAC (Control de cuentas de usuario) está habilitado, haga clic en . De lo contrario, continúe con el Paso 5.

Símbolo del sistema del control de cuentas de usuario

  1. Vete a [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registro

  1. Haga doble clic AFLAGS.

AFLAGS en el registro

  1. Presione Delete y escriba 03y, a continuación, haga clic en Aceptar.

Pantalla Editar valor binario

  1. Haga clic en File (Archivo) y luego haga clic en Exit (Salir).

Salir del editor del registro

Nota: Una vez que se active el registro, reproduzca el problema.
Capturar
  1. Inicie sesión en el terminal afectado.
  2. Haga clic con el botón derecho del mouse en el menú Inicio de Windows y seleccione Run (Ejecutar).

Ejecutar

  1. En run user interface (UI), escriba eventvwr y, a continuación, haga clic en ACEPTAR.

Interfaz de usuario de Ejecutar

  1. En Visor de eventos, expanda Registros de Windows y, a continuación, haga clic en Sistema.

Registros y sistema de Windows

  1. Haga clic con el botón secundario en Registro del sistema y, a continuación, seleccione Filtrar registro actual.

Filtrar registro actual

  1. Configure el origen en CSAgent.

Configuración del origen de eventos en CSAgent

  1. Haga clic con el botón secundario en registro del sistema y, a continuación, seleccione Guardar el archivo de registro filtrado como.

Guardar archivo de registro filtrado como

  1. Cambiar nombre de archivo a CrowdStrike_[WORKSTATIONNAME].evtx y, a continuación, haga clic en Guardar.

Cambiar el nombre de archivo y guardar

Nota: Dell Technologies recomienda especificar la [WORKSTATIONNAME] en caso de que el problema ocurra en varios terminales.
Deshabilitar
  1. Inicie sesión en el terminal afectado.
  2. Haga clic con el botón derecho del mouse en el menú Inicio de Windows y seleccione Run (Ejecutar).

Ejecutar

  1. En run user interface (UI), escriba regedit y, a continuación, presione CTRL + MAYÚS + INTRO para ejecutar el editor del registro como administrador.

Interfaz de usuario de Ejecutar

  1. Si UAC (Control de cuentas de usuario) está habilitado, haga clic en . De lo contrario, diríjase al Paso 5.

Símbolo del sistema del control de cuentas de usuario

  1. Vete a [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registro

  1. Presione Delete y escriba 0y, a continuación, haga clic en Aceptar.

Editar valor binario

  1. Haga clic en File (Archivo) y luego haga clic en Exit (Salir).

Salir del registro

Un usuario puede solucionar problemas de CrowdStrike Falcon Sensor en Mac recopilando lo siguiente:

Haga clic en el tipo de registro correspondiente para obtener más información.

Install

CrowdStrike Falcon Sensor utiliza el archivo install.log nativo para registrar la información de instalación.

  1. En el menú Apple, haga clic en Go (Ir) y luego seleccione Go to Folder (Ir a la carpeta).

Go to Folder

  1. Tipo /var/log y, a continuación, haga clic en Ir.

Vaya a la interfaz de usuario de la carpeta

  1. Copiar Install.log a una ubicación fácilmente disponible para realizar una investigación más detallada.

install.log

Nota: Dell Technologies recomienda buscar "CrowdStrike" para asegurarse de que la información sea relevante para CrowdStrike.

Producto

Se recomienda habilitar el nivel de detalle y, a continuación, reproducir el problema antes de capturar los registros del producto. Una vez que se resuelve el problema, se recomienda deshabilitar el detalle. Haga clic en el proceso correspondiente para obtener más información.

Habilitar
Advertencia:
  • Dell Technologies recomienda habilitar el nivel de detalle solo cuando se soluciona un problema.
  • Dell Technologies recomienda deshabilitar el detalle después de que se resuelva el problema.
  • Es posible que los puntos de conexión experimenten una degradación del rendimiento mientras los detalles estén habilitados.
  1. Inicie sesión en el terminal afectado.
  2. En el menú Apple, haga clic en Go (Ir) y luego seleccione Utilities (Utilidades).

Utilidades

  1. Haga doble clic en Terminal.

Terminal

  1. En el terminal, escriba sudo sysctl cs.feature=3 y, luego, presione Intro.
  2. Ingrese la contraseña para sudoy, a continuación, presione Intro.

Terminal completando la contraseña de sudo

  1. Confirmar cs.feature=3.

Interfaz del usuario del terminal

Nota: Una vez que se active el registro, reproduzca el problema.
Capturar
  1. Inicie sesión en el terminal afectado.
  2. En el menú Apple, haga clic en Go (Ir) y luego seleccione Utilities (Utilidades).

Utilidades

  1. Haga doble clic en Terminal.

Terminal

  1. En el terminal, escriba sudo /Library/CS/falconctl diagnose y, luego, presione Intro.
  2. Ingrese la contraseña para sudoy, a continuación, presione Intro.

Terminal completando la contraseña de sudo

  1. Después de varios minutos, falconctl_diagnose.tgz se generará en /private/tmp.
Deshabilitar
  1. Inicie sesión en el terminal afectado.
  2. En el menú Apple, haga clic en Go (Ir) y luego seleccione Utilities (Utilidades).

Utilidades

  1. Haga doble clic en Terminal.

Terminal

  1. En el terminal, escriba sudo sysctl cs.feature=0 y, luego, presione Intro.
  2. Ingrese la contraseña para sudoy, a continuación, presione Intro.

Terminal completando la contraseña de sudo

  1. Confirmar cs.feature=0.

Interfaz del usuario del terminal

  1. Inicie sesión en el terminal afectado.
  2. Abra Terminal de Linux.

Terminal

Nota: El diseño de la interfaz de usuario (IU) puede variar entre las distribuciones de Linux.
  1. En el terminal, escriba su root y, luego, presione Intro.
  2. Ingrese la contraseña para sudoy, a continuación, presione Intro.

Terminal completando la contraseña de sudo

  1. Tipo sudo mkdir /tmp/CrowdStrike y, luego, presione Intro.

Directorio de creación de terminales

Nota: El ejemplo /tmp/CrowdStrike el directorio se puede modificar en su ambiente.
  1. Tipo sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt y, luego, presione Intro.
  2. Tipo sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt y, luego, presione Intro.
  3. Tipo sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt y, luego, presione Intro.
  4. Tipo sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt y, luego, presione Intro.

Interfaz del usuario del terminal

Nota: Es posible que las distribuciones de Linux no tengan todos los directorios mencionados.
  1. Capturar todos los archivos de salida dentro de /tmp/CrowdStrike (Paso 5) mediante SSH.

Salida de captura de terminal

Nota:
  • De manera predeterminada, SSH está deshabilitado en las distribuciones de Linux.
  • Una vez que se active SSH, se puede utilizar un software de otros fabricantes (por ejemplo, PuTTY) para conectarse al terminal de Linux.

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.