Як збирати журнали датчиків CrowdStrike Falcon

Summary: Дізнайтеся, як збирати логи CrowdStrike Falcon Sensor для усунення несправностей. Покрокові інструкції доступні для Windows, Mac і Linux.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

У цій статті розглядаються методи збору логів для CrowdStrike Falcon Sensor.

Продукти, на які впливають:

  • Датчик CrowdStrike Falcon

Операційні системи, яких це стосується:

  • Вікна
  • Комп'ютер Mac
  • Лінукс

Cause

Не застосовується

Resolution

Настійно рекомендується збирати журнали, перш ніж усувати неполадки CrowdStrike Falcon Sensor або звертатися до служби підтримки Dell.

Примітка: Для отримання додаткової інформації про звернення до служби підтримки Dell зверніться до номерів телефонів міжнародної служби підтримки Dell Data Security.

Виберіть пункт Windows, Mac або Linux , щоб переглянути відповідну інформацію для журналювання.

Користувач може усунути неполадки CrowdStrike Falcon Sensor у Windows, вручну зібравши журнали для:

  • Журнали MSI : Використовується для усунення проблем зі встановленням.
  • Журнали продукції : Використовується для усунення проблем з активацією, зв'язком і поведінкою.

Виберіть відповідний тип журналу, щоб дізнатися більше.

MSI

  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Виконати інтерфейс користувача (UI) введіть одну з таких команд:
    • Якщо встановлено користувачем: %LOCALAPPDATA%\Temp і натисніть кнопку ОК.
    • Якщо встановлено за допомогою автоматичного оновлення: %SYSTEMROOT%\Temp і натисніть кнопку ОК.

Запустити інтерфейс користувача

  1. Зберіть:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

На зображенні зображені приклади файлів журналу.

Примітка:
  • [TIMESTAMP] = Дата і час встановлення
  • [BIT] = Представляє або Agent32, або Agent64

Продукт

Рекомендується Увімкнути детальність, а потім відтворити проблему перед записом журналів продуктів . Після того, як проблему буде вирішено, рекомендується вимкнути детальність. Натисніть відповідну процедуру, щоб дізнатися більше.

Вмикати
Попередження:
  • Dell Technologies рекомендує вмикати детальність лише під час усунення неполадок.
  • Dell Technologies рекомендує вимкнути детальність після вирішення проблеми.
  • Кінцеві точки можуть знижувати продуктивність, коли ввімкнено детальність.
  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Запустити інтерфейс користувача (UI) введіть regedit і натисніть сполучення клавіш CTRL+SHIFT+ENTER, щоб запустити редактор реєстру від імені адміністратора.

Запустити інтерфейс користувача

  1. Якщо службу захисту користувачів (UAC) увімкнуто, натисніть кнопку Так. В іншому випадку перейдіть до кроку 5.

Запит служби захисту користувачів

  1. Іти до [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Реєстру

  1. Подвійне клацання AFLAGS.

AFLAGS у реєстрі

  1. Натисніть Delete, введіть 03, а потім натисніть кнопку ОК.

Редагувати екран двійкових значень

  1. Натисніть кнопку Файл, а потім виберіть Вийти.

Вихід з редактора реєстру

Примітка: Увімкнувши ведення журналу, відтворіть проблему.
Захоплення
  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Запустити інтерфейс користувача (UI) введіть eventvwr і натисніть кнопку ОК.

Запустити інтерфейс користувача

  1. У вікні «Перегляд подій» розгорніть розділ «Журнали Windows » і виберіть пункт «Система».

Журнали Windows і система

  1. Клацніть правою кнопкою миші системний журнал і виберіть команду Фільтрувати поточний журнал.

Фільтрувати поточний журнал

  1. Встановіть для параметра Джерело значення CSAgent.

Встановлення джерела події на CSAgent

  1. Клацніть правою кнопкою миші системний журнал і виберіть пункт Зберегти відфільтрований файл журналу як.

Збережіть відфільтрований файл журналу як

  1. Змініть ім'я файлу на CrowdStrike_[WORKSTATIONNAME].evtx , а потім натисніть кнопку Зберегти.

Зміна імені файлу та збереження

Примітка: Dell Technologies рекомендує вказувати [WORKSTATIONNAME] у випадку, якщо проблема виникає на кількох кінцевих точках.
Вимкнути
  1. Увійдіть до відповідної кінцевої точки.
  2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

Бігти

  1. У полі Запустити інтерфейс користувача (UI) введіть regedit і натисніть сполучення клавіш CTRL+SHIFT+ENTER, щоб запустити редактор реєстру від імені адміністратора.

Запустити інтерфейс користувача

  1. Якщо службу захисту користувачів (UAC) увімкнуто, натисніть кнопку Так. В іншому випадку перейдіть до кроку 5.

Запит служби захисту користувачів

  1. Іти до [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Реєстру

  1. Натисніть Delete, введіть 0, а потім натисніть кнопку ОК.

Редагувати двійкове значення

  1. Натисніть кнопку Файл, а потім виберіть Вийти.

Вихід з реєстру

Користувач може усунути неполадки CrowdStrike Falcon Sensor на Mac, зібравши:

Клацніть відповідний тип журналу, щоб отримати додаткові відомості.

Інсталювати

CrowdStrike Falcon Sensor використовує вбудовану інсталяцію.log для документування інформації про встановлення.

  1. У меню Apple натисніть «Перейти», а потім виберіть «Перейти до папки».

Перейти до папки

  1. Тип /var/log , а потім натисніть кнопку Перейти.

Перейдіть до інтерфейсу папки

  1. Копіювати Install.log до легкодоступного місця для подальшого дослідження.

встановити.log

Примітка: Dell Technologies рекомендує шукати "CrowdStrike", щоб переконатися, що інформація релевантна CrowdStrike.

Продукт

Рекомендується Увімкнути детальність, а потім відтворити проблему перед записом журналів продуктів . Після того, як проблему буде вирішено, рекомендується вимкнути детальність. Натисніть відповідну процедуру, щоб дізнатися більше.

Вмикати
Попередження:
  • Dell Technologies рекомендує вмикати детальність лише під час усунення неполадок.
  • Dell Technologies рекомендує вимкнути детальність після вирішення проблеми.
  • Кінцеві точки можуть знижувати продуктивність, коли ввімкнено детальність.
  1. Увійдіть до відповідної кінцевої точки.
  2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

Утиліти

  1. Двічі клацніть пункт Термінал.

Термінал

  1. У Терміналі введіть sudo sysctl cs.feature=3 , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Підтвердити cs.feature=3.

Інтерфейс терміналу

Примітка: Увімкнувши ведення журналу, відтворіть проблему.
Захоплення
  1. Увійдіть до відповідної кінцевої точки.
  2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

Утиліти

  1. Двічі клацніть пункт Термінал.

Термінал

  1. У Терміналі введіть sudo /Library/CS/falconctl diagnose , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Через кілька хвилин, falconctl_diagnose.tgz буде згенеровано в /private/tmp.
Вимкнути
  1. Увійдіть до відповідної кінцевої точки.
  2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

Утиліти

  1. Двічі клацніть пункт Термінал.

Термінал

  1. У Терміналі введіть sudo sysctl cs.feature=0 , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Підтвердити cs.feature=0.

Інтерфейс терміналу

  1. Увійдіть до відповідної кінцевої точки.
  2. Відкрийте термінал Linux.

Термінал

Примітка: Компонування інтерфейсу користувача (UI) може відрізнятися у різних дистрибутивах Linux.
  1. У Терміналі введіть su root , а потім натисніть клавішу Enter.
  2. Введіть пароль для sudo, а потім натисніть клавішу Enter.

Термінал, що заповнює пароль sudo

  1. Тип sudo mkdir /tmp/CrowdStrike , а потім натисніть клавішу Enter.

Каталог створення терміналів

Примітка: Приклад /tmp/CrowdStrike каталог може бути змінений у вашому середовищі.
  1. Тип sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt , а потім натисніть клавішу Enter.
  2. Тип sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt , а потім натисніть клавішу Enter.
  3. Тип sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt , а потім натисніть клавішу Enter.
  4. Тип sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt , а потім натисніть клавішу Enter.

Інтерфейс терміналу

Примітка: Дистрибутиви Linux можуть мати не всі каталоги зі списку.
  1. Захоплюйте всі вихідні файли всередині /tmp/CrowdStrike (Крок 5) за допомогою SSH.

Вихід захоплення терміналу

Примітка:
  • Типово, SSH вимкнено у дистрибутивах Linux.
  • Після ввімкнення SSH для підключення до кінцевої точки Linux можна використовувати стороннє програмне забезпечення (наприклад, PuTTY).

Щоб зв'язатися зі службою підтримки, зверніться за номерами телефонів міжнародної служби підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову інформацію та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.