Jak zbierać dzienniki narzędzia CrowdStrike Falcon Sensor

Summary: Dowiedz się, jak zbierać dzienniki narzędzia CrowdStrike Falcon Sensor w celu rozwiązywania problemów. Przewodniki krok po kroku są dostępne dla systemów Windows, Mac i Linux.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

W tym artykule opisano metody gromadzenia dzienników narzędzia CrowdStrike Falcon Sensor.

Dotyczy produktów:

  • Narzędzie CrowdStrike Falcon Sensor

Dotyczy systemów operacyjnych:

  • Windows
  • Mac
  • Linux

Cause

Nie dotyczy

Resolution

Zaleca się gromadzenie dzienników przed rozpoczęciem rozwiązywania problemów z narzędziem CrowdStrike Falcon Sensor lub skontaktowaniem się z pomocą techniczną firmy Dell.

Uwaga: aby uzyskać więcej informacji na temat kontaktu z pomocą techniczną Dell Support, przejdź do sekcji Międzynarodowe numery telefonów pomocy technicznej dla produktów Dell Data Security.

Kliknij pozycję Windows, Mac lub Linux , aby uzyskać odpowiednie informacje o rejestrowaniu.

Użytkownik może rozwiązywać problemy z narzędziem CrowdStrike Falcon Sensor w systemie Windows, ręcznie zbierając dzienniki dla:

  • Dzienniki MSI: Używane do rozwiązywania problemów z instalacją.
  • Dzienniki produktu : Używane do rozwiązywania problemów z aktywacją, komunikacją i działaniem.

Aby uzyskać więcej informacji, kliknij odpowiedni typ dzienników.

MSI

  1. Zaloguj się do danego punktu końcowego.
  2. Prawym przyciskiem myszy kliknij menu Start systemu Windows, a następnie wybierz opcję Uruchom.

Uruchom

  1. W interfejsie użytkownika Uruchom wpisz albo:
    • W przypadku zainstalowania przez użytkownika: %LOCALAPPDATA%\Temp a następnie kliknij przycisk OK.
    • Jeśli zainstalowano przez automatyczną aktualizację: %SYSTEMROOT%\Temp a następnie kliknij przycisk OK.

Uruchom UI

  1. Zbierz:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Ilustracja przedstawia przykładowe pliki dziennika.

Uwaga:
  • [TIMESTAMP] = Data i godzina instalacji
  • [BIT] = Oznacza agent32 lub Agent64

Produkt

Zaleca się włączenie szczegółowości, a następnie odtworzenie problemu przed przechwyceniem dzienników produktu. Po rozwiązaniu problemu zaleca się wyłączenie szczegółowości. Kliknij odpowiedni proces, aby uzyskać więcej informacji.

Włączanie
Ostrzeżenie:
  • Firma Dell Technologies zaleca włączanie szczegółowości tylko w przypadku rozwiązywania problemu.
  • Firma Dell Technologies zaleca wyłączenie szczegółowości po rozwiązaniu problemu.
  • Gdy szczegółowość jest włączona, wydajność urządzeń końcowych może spadać.
  1. Zaloguj się do danego punktu końcowego.
  2. Prawym przyciskiem myszy kliknij menu Start systemu Windows, a następnie wybierz opcję Uruchom.

Uruchom

  1. W menu Uruchom interfejs użytkownika (UI) wpisz regedit a następnie naciśnij kombinację klawiszy CTRL + SHIFT + ENTER, aby uruchomić Edytor rejestru jako administrator.

Uruchom UI

  1. Jeśli włączona jest funkcja Kontrola konta użytkownika (UAC), kliknij przycisk Tak. W przeciwnym razie przejdź do kroku 5.

Monit kontroli konta użytkownika

  1. Przejdź do [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Rejestr

  1. Kliknij dwukrotnie AFLAGS.

AFLAGS w rejestrze

  1. Naciśnij przycisk Delete, wpisz 03, a następnie kliknij przycisk OK.

Ekran Edit Binary Value (Edytuj wartość binarną

  1. Kliknij opcję Plik, a następnie wybierz opcję Zakończ.

Zamykanie Edytora rejestru

Uwaga: gdy włączysz zbieranie dzienników, spróbuj odtworzyć problem.
Przechwytywanie
  1. Zaloguj się do danego punktu końcowego.
  2. Prawym przyciskiem myszy kliknij menu Start systemu Windows, a następnie wybierz opcję Uruchom.

Uruchom

  1. W menu Uruchom interfejs użytkownika (UI) wpisz eventvwr a następnie kliknij przycisk OK.

Uruchom UI

  1. W Podglądzie zdarzeń rozwiń pozycję Dzienniki systemu Windows, a następnie kliknij pozycję System.

Dzienniki systemu Windows i system

  1. Kliknij prawym przyciskiem myszy dziennik systemowy, a następnie wybierz opcję Filtruj bieżący dziennik.

Filtruj bieżący dziennik

  1. Ustaw źródło na CSAgent.

Ustawianie źródła zdarzenia na CSAgent

  1. Kliknij prawym przyciskiem myszy dziennik systemowy, a następnie wybierz opcję Zapisz odfiltrowany plik dziennika jako.

Zapisz filtrowany plik dziennika jako

  1. Zmień nazwę pliku na CrowdStrike_[WORKSTATIONNAME].evtx a następnie kliknij przycisk Zapisz.

Zmiana nazwy pliku i zapisanie

Uwaga: Firma Dell Technologies zaleca określenie [WORKSTATIONNAME] w przypadku, gdy problem występuje na wielu punktach końcowych.
Wyłącz
  1. Zaloguj się do danego punktu końcowego.
  2. Prawym przyciskiem myszy kliknij menu Start systemu Windows, a następnie wybierz opcję Uruchom.

Uruchom

  1. W menu Uruchom interfejs użytkownika (UI) wpisz regedit a następnie naciśnij kombinację klawiszy CTRL + SHIFT + ENTER, aby uruchomić Edytor rejestru jako administrator.

Uruchom UI

  1. Jeśli włączona jest funkcja Kontrola konta użytkownika (UAC), kliknij przycisk Tak. W przeciwnym razie przejdź do kroku 5.

Monit kontroli konta użytkownika

  1. Przejdź do [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Rejestr

  1. Naciśnij przycisk Delete, wpisz 0, a następnie kliknij przycisk OK.

Edytuj wartość binarną

  1. Kliknij opcję Plik, a następnie wybierz opcję Zakończ.

Zamykanie rejestru

Użytkownik może rozwiązywać problemy z narzędziem CrowdStrike Falcon Sensor na komputerze Mac, zbierając następujące elementy:

Aby uzyskać więcej informacji, kliknij odpowiedni typ dziennika.

Instalowanie

Narzędzie Falcon CrowdStrike Sensor do zbierania danych instalacyjnych wykorzystuje macierzysty plik install.log.

  1. W menu Apple kliknij pozycję Idź i wybierz opcję Idź do folderu.

Przejdź do folderu

  1. Wpisz /var/log a następnie kliknij przycisk Idź.

Przejdź do interfejsu użytkownika folderu

  1. Kopiowanie Install.log do łatwo dostępnej lokalizacji w celu dalszego zbadania.

install.log

Uwaga: Firma Dell Technologies zaleca wyszukanie "CrowdStrike", aby upewnić się, że informacje te są odpowiednie dla programu CrowdStrike.

Produkt

Zaleca się włączenie szczegółowości, a następnie odtworzenie problemu przed przechwyceniem dzienników produktu. Po rozwiązaniu problemu zaleca się wyłączenie szczegółowości. Kliknij odpowiedni proces, aby uzyskać więcej informacji.

Włączanie
Ostrzeżenie:
  • Firma Dell Technologies zaleca włączanie szczegółowości tylko w przypadku rozwiązywania problemu.
  • Firma Dell Technologies zaleca wyłączenie szczegółowości po rozwiązaniu problemu.
  • Gdy szczegółowość jest włączona, wydajność urządzeń końcowych może spadać.
  1. Zaloguj się do punktu końcowego, którego dotyczy problem.
  2. W menu Apple kliknij pozycję Idź i wybierz opcję Narzędzia.

Narzędzia

  1. Kliknij dwukrotnie ikonę Terminal.

Terminal

  1. W terminalu wpisz sudo sysctl cs.feature=3 i naciśnij klawisz Enter.
  2. Podaj hasło do sudo, a następnie naciśnij klawisz Enter.

Terminal wypełnia hasło sudo

  1. Zatwierdź cs.feature=3.

Interfejs użytkownika terminala

Uwaga: gdy włączysz zbieranie dzienników, spróbuj odtworzyć problem.
Przechwytywanie
  1. Zaloguj się do danego punktu końcowego.
  2. W menu Apple kliknij pozycję Idź i wybierz opcję Narzędzia.

Narzędzia

  1. Kliknij dwukrotnie ikonę Terminal.

Terminal

  1. W terminalu wpisz sudo /Library/CS/falconctl diagnose i naciśnij klawisz Enter.
  2. Podaj hasło do sudo, a następnie naciśnij klawisz Enter.

Terminal wypełnia hasło sudo

  1. Po kilku minutach falconctl_diagnose.tgz zostanie wygenerowany w /private/tmp.
Wyłącz
  1. Zaloguj się do punktu końcowego, którego dotyczy problem.
  2. W menu Apple kliknij pozycję Idź i wybierz opcję Narzędzia.

Narzędzia

  1. Kliknij dwukrotnie ikonę Terminal.

Terminal

  1. W terminalu wpisz sudo sysctl cs.feature=0 i naciśnij klawisz Enter.
  2. Podaj hasło do sudo, a następnie naciśnij klawisz Enter.

Terminal wypełnia hasło sudo

  1. Zatwierdź cs.feature=0.

Interfejs użytkownika terminala

  1. Zaloguj się do punktu końcowego, którego dotyczy problem.
  2. Otwórz Terminal systemu Linux.

Terminal

Uwaga: układ interfejsu użytkownika może różnić w zależności od dystrybucji systemu Linux.
  1. W terminalu wpisz su root i naciśnij klawisz Enter.
  2. Podaj hasło do sudo, a następnie naciśnij klawisz Enter.

Terminal wypełnia hasło sudo

  1. Wpisz sudo mkdir /tmp/CrowdStrike i naciśnij klawisz Enter.

Katalog tworzenia terminala

Uwaga: Przykład /tmp/CrowdStrike katalog można zmodyfikować w swoim środowisku.
  1. Wpisz sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt i naciśnij klawisz Enter.
  2. Wpisz sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt i naciśnij klawisz Enter.
  3. Wpisz sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt i naciśnij klawisz Enter.
  4. Wpisz sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt i naciśnij klawisz Enter.

Interfejs użytkownika terminala

Uwaga: nie wszystkie wymienione katalogi muszą być dostępne w poszczególnych dystrybucjach systemu Linux.
  1. Przechwyć wszystkie pliki wyjściowe w /tmp/CrowdStrike (Krok 5) przy użyciu SSH.

Terminal — przechwytywanie danych wyjściowych

Uwaga:
  • Domyślnie protokół SSH jest wyłączony w dystrybucjach Linuksa.
  • Po włączeniu protokołu SSH do łączenia się z urządzeniem końcowym z systemem Linux można używać oprogramowania (np. PuTTY) innych producentów.

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.