CrowdStrike Falcon Sensorのログの収集方法

Summary: トラブルシューティングのためにCrowdStrike Falcon Sensorのログを収集する方法について説明します。ステップバイステップ ガイドは、Windows、Mac、およびLinuxで利用できます。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

この記事では、CrowdStrike Falcon Sensorのログを収集する方法について説明します。

対象製品:

  • CrowdStrike Falcon Sensor

対象オペレーティング システム:

  • Windows
  • Mac
  • Linux

Cause

該当なし

Resolution

CrowdStrike Falcon Sensorのトラブルシューティングを行う前、またはDellサポートに問い合わせる前に、ログを収集することを強くお勧めします。

注:Dellサポートに関するお問い合わせの詳細については、「デル データ セキュリティのインターナショナル サポート電話番号」を参照してください。

関連するログ情報については、[ Windows]、[ Mac]、または [Linux ]をクリックします。

ユーザーは、次のログを手動で収集することで、Windows上のCrowdStrike Falcon Sensorのトラブルシューティングを行うことができます。

  • MSI ログ: インストールの問題をトラブルシューティングするために使用します。
  • 製品 ログ: アクティブ化、通信、動作の問題をトラブルシューティングするために使用します。

詳細については、該当するログ タイプをクリックしてください。

MSI

  1. 影響を受けるエンドポイントにログインします
  2. Windowsの「スタート」メニューを右クリックして、「ファイル名を指定して実行」を選択します。

実行

  1. [ファイル名を指定して実行]ユーザー インターフェイス(UI)で、次のいずれかを入力します。
    • ユーザーがインストールした場合: %LOCALAPPDATA%\Temp をクリックし 、「OK」をクリックします。
    • 自動アップデートによってインストールされている場合: %SYSTEMROOT%\Temp をクリックし 、「OK」をクリックします。

[ファイル名を指定して実行]UI

  1. 収集:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

画像は、ログ ファイルの例を示しています。

注:
  • [TIMESTAMP] = インストールの日付と時刻
  • [BIT] = Agent32またはAgent64のいずれかを表します。

製品

製品ログを収集する前に、冗長性を有効にしてから問題を再現することをお勧めします。問題が解決したら、冗長性 を無効にする ことをお勧めします。詳細については、適切なプロセスをクリックしてください。

有効
Warning:
  • デル・テクノロジーズでは、問題のトラブルシューティング時にのみ冗長性を有効にすることをお勧めします。
  • デル・テクノロジーズでは、問題の解決後は冗長性を無効にすることをお勧めします。
  • 冗長性が有効になっていると、エンドポイントでパフォーマンスが低下する場合があります。
  1. 影響を受けるエンドポイントにログインします
  2. Windowsの「スタート」メニューを右クリックして、「ファイル名を指定して実行」を選択します。

実行

  1. [ファイル名を指定して実行]ユーザー インターフェイス(UI)で、次を入力します。 regedit 次に、CTRL+SHIFT+ENTERを押して、レジストリー エディターを管理者として実行します。

[ファイル名を指定して実行]UI

  1. ユーザー アカウント制御(UAC)が有効になっている場合は、[Yes]をクリックします。それ以外の場合は、手順5に進みます。

[ユーザー アカウント制御]プロンプト

  1. 行きます [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]に戻ります。

レジストリー

  1. ダブルクリック AFLAGSに戻ります。

レジストリー内のAFLAGS

  1. Deleteを押して、 03をクリックし 、[OK] をクリックします。

[Edit Binary Value]画面

  1. ファイル]メニューの[終了]をクリックします。

レジストリー エディターの終了

注:ログが有効化されたら、問題を再現します。
キャプチャ
  1. 影響を受けるエンドポイントにログインします
  2. Windowsの「スタート」メニューを右クリックして、「ファイル名を指定して実行」を選択します。

実行

  1. [ファイル名を指定して実行]ユーザー インターフェイス(UI)で、次を入力します。 eventvwr をクリックし 、「OK」をクリックします。

[ファイル名を指定して実行]UI

  1. イベント ビューアーで[Windows ログ]を展開し、[システム]をクリックします。

Windowsログとシステム

  1. [システム ログ]を右クリックし、[現在のログをフィルター]を選択します。

現在のログのフィルタリング

  1. [ソース] を CSAgentに戻ります。

イベント ソースをCSAgentに設定する

  1. [システム ログ]を右クリックして[フィルターされたログ ファイルの名前を付けて保存]を選択します。

フィルター処理されたログ ファイルに名前を付けて保存

  1. ファイル名を CrowdStrike_[WORKSTATIONNAME].evtx をクリックし 、「保存」をクリックします。

ファイル名の変更と保存

注:デル・テクノロジーズでは、指定することを推奨しています [WORKSTATIONNAME] 問題が複数のエンドポイントで発生している場合。
Disable
  1. 影響を受けるエンドポイントにログインします
  2. Windowsの「スタート」メニューを右クリックして、「ファイル名を指定して実行」を選択します。

実行

  1. [ファイル名を指定して実行]ユーザー インターフェイス(UI)で、次を入力します。 regedit 次に、CTRL+SHIFT+ENTERを押して、レジストリー エディターを管理者として実行します。

[ファイル名を指定して実行]UI

  1. ユーザー アカウント制御(UAC)が有効になっている場合は、[Yes]をクリックします。それ以外の場合は、手順5に進みます。

[ユーザー アカウント制御]プロンプト

  1. 次のリンクにアクセスする: [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]に戻ります。

レジストリー

  1. Deleteを押して、 0をクリックし 、[OK] をクリックします。

バイナリ値の編集

  1. ファイル]メニューの[終了]をクリックします。

レジストリの終了

ユーザーは、次の情報を収集することで、Mac上のCrowdStrike Falcon Sensorをトラブルシューティングできます。

  • インストール ログ: インストールの問題をトラブルシューティングするために使用します。
  • 製品 ログ: アクティブ化、通信、動作の問題をトラブルシューティングするために使用します。

詳細については、該当するログ タイプをクリックしてください。

インストール

CrowdStrike Falcon Sensorは、ネイティブのinstall.logを使用してインストール情報を文書化します。

  1. アップル メニューの[移動]をクリックし、次に[フォルダへー移動]を選択します。

[Go to Folder]

  1. コマンド /var/log をクリックし、「 実行」をクリックします。

フォルダーUIに移動

  1. コピー Install.log さらなる調査のためにすぐに利用できる場所に。

install.log

注:デル・テクノロジーズでは、「CrowdStrike」を検索して、情報がCrowdStrikeに関連していることを確認することをお勧めします。

製品

製品ログを収集する前に、冗長性を有効にしてから問題を再現することをお勧めします。問題が解決したら、冗長性 を無効にする ことをお勧めします。詳細については、適切なプロセスをクリックしてください。

有効
Warning:
  • デル・テクノロジーズでは、問題のトラブルシューティング時にのみ冗長性を有効にすることをお勧めします。
  • デル・テクノロジーズでは、問題の解決後は冗長性を無効にすることをお勧めします。
  • 冗長性が有効になっていると、エンドポイントでパフォーマンスが低下する場合があります。
  1. 対象のエンドポイントにログインします。
  2. アップル メニューの[移動]をクリックし、[ユーティリティ]を選択します。

ユーティリティ

  1. ターミナル]をダブルクリックします。

端末

  1. ターミナルで、「sudo shasum -a 256 [FILENAME]」と入力して、 sudo sysctl cs.feature=3 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。
  2. 次の パスワード を入力します: sudoをクリックし、Enter キーを押します。

ターミナルでsudoパスワードを入力します

  1. [Confirm] cs.feature=3に戻ります。

ターミナルUI

注:ログが有効化されたら、問題を再現します。
キャプチャ
  1. 影響を受けるエンドポイントにログインします
  2. アップル メニューの[移動]をクリックし、[ユーティリティ]を選択します。

ユーティリティ

  1. ターミナル]をダブルクリックします。

端末

  1. ターミナルで、「sudo shasum -a 256 [FILENAME]」と入力して、 sudo /Library/CS/falconctl diagnose 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。
  2. 次のパスワードを入力します: sudoをクリックし、Enter キーを押します。

sudoパスワードを入力するターミナル

  1. 数分後、 falconctl_diagnose.tgz で生成されます /private/tmpに戻ります。
Disable
  1. 対象のエンドポイントにログインします。
  2. アップル メニューの[移動]をクリックし、[ユーティリティ]を選択します。

ユーティリティ

  1. ターミナル]をダブルクリックします。

端末

  1. ターミナルで、「sudo shasum -a 256 [FILENAME]」と入力して、 sudo sysctl cs.feature=0 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。
  2. 次のパスワードを入力します: sudoをクリックし、Enter キーを押します。

sudoパスワードを入力するターミナル

  1. [Confirm] cs.feature=0に戻ります。

ターミナルUI

  1. 対象のエンドポイントにログインします。
  2. Linuxのターミナルを開きます。

端末

注:ユーザー インターフェイス(UI)レイアウトは、Linuxディストリビューションによって異なる場合があります。
  1. ターミナルで、「sudo shasum -a 256 [FILENAME]」と入力して、 su root 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。
  2. 次の パスワード を入力します: sudoをクリックし、Enter キーを押します。

ターミナルでsudoパスワードを入力します

  1. コマンド sudo mkdir /tmp/CrowdStrike 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。

ターミナル作成ディレクトリー

注:/tmp/CrowdStrike ディレクトリは、環境内で変更できます。
  1. コマンド sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。
  2. コマンド sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。
  3. コマンド sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。
  4. コマンド sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。

ターミナルUI

注:Linuxディストリビューションによっては、リストされているすべてのディレクトリーが含まれていない場合もあります。
  1. 内のすべての出力ファイルをキャプチャします /tmp/CrowdStrike (ステップ5)をSSHで使用します。

ターミナルのキャプチャ出力

注:
  • デフォルトでSSHは、Linuxディストリビューション上で無効になっています。
  • SSHが有効になると、サード パーティー製ソフトウェア(PuTTYなど)を使用して、Linuxエンドポイントへの接続ができます。

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.