Jak shromažďovat protokoly aplikace CrowdStrike Falcon Sensor

Summary: Zjistěte, jak shromažďovat protokoly aplikace CrowdStrike Falcon Sensor pro odstraňování problémů. Podrobné návody jsou k dispozici pro systémy Windows, Mac a Linux.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Tento článek pojednává o metodách shromažďování protokolů pro aplikaci CrowdStrike Falcon Sensor.

Dotčené produkty:

  • CrowdStrike Falcon Sensor

Dotčené operační systémy:

  • Windows
  • Mac
  • Linux

Cause

Není k dispozici

Resolution

Před odstraňováním problémů s aplikací CrowdStrike Falcon Sensor nebo kontaktováním podpory společnosti Dell důrazně doporučujeme shromáždit protokoly.

Poznámka: Další informace o kontaktování podpory společnosti Dell naleznete v článku Telefonní čísla mezinárodní podpory Dell Data Security.

Relevantní informace o protokolování získáte po kliknutí na systém Windows, Mac nebo Linux .

Uživatel může odstraňovat problémy s aplikací CrowdStrike Falcon Sensor v systému Windows ručním shromažďováním protokolů pro:

  • Protokoly MSI: Používají se k odstraňování problémů s instalací.
  • Protokoly produktu: Používají se k odstraňování problémů s aktivací, komunikací a při poruchách chování.

Další informace získáte po kliknutí na příslušný typ protokolování.

MSI

  1. Přihlaste se k dotčenému koncovému bodu.
  2. Pravým tlačítkem klikněte na nabídku Start systému Windows a poté vyberte možnost Spustit.

Spustit

  1. V uživatelském rozhraní Spustit zadejte jednu z následujících variant:
    • Pokud instalaci provedl uživatel: %LOCALAPPDATA%\Temp a potom klikněte na tlačítko OK.
    • Pokud instalaci provedla automatická aktualizace: %SYSTEMROOT%\Temp a potom klikněte na tlačítko OK.

Uživatelské rozhraní Spustit

  1. Shromážděte:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Na obrázku jsou ukázkové soubory protokolů.

Poznámka:
  • [TIMESTAMP] = Datum a čas instalace
  • [BIT] = Představuje agenta 32 nebo Agent64.

Produkt

Před zachycením protokolů produktu se doporučuje povolit podrobnosti a poté problém reprodukovat. Po vyřešení problému se doporučuje podrobnosti zakázat . Další informace získáte po kliknutí na příslušný proces.

Povolení
Varování:
  • Společnost Dell Technologies doporučuje podrobnosti povolit pouze při odstraňování problémů.
  • Společnost Dell Technologies doporučuje po vyřešení problému podrobnosti zakázat.
  • Jestliže jsou podrobnosti povoleny, může na koncových bodech docházet ke snížení výkonu.
  1. Přihlaste se k dotčenému koncovému bodu.
  2. Pravým tlačítkem klikněte na nabídku Start systému Windows a poté vyberte možnost Spustit.

Spustit

  1. V uživatelském rozhraní Spustit zadejte příkaz regedit a poté stisknutím kláves CTRL+SHIFT+ENTER spusťte Editor registru jako správce.

Uživatelské rozhraní Spustit

  1. Pokud je povolena funkce Řízení uživatelských účtů (UAC), klikněte na tlačítko Ano. V opačném případě pokračujte krokem 5.

Výzva Řízení uživatelských účtů

  1. Přejít na [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registr

  1. Poklepejte AFLAGS.

AFLAGS v registru

  1. Stiskněte klávesu Delete a zadejte 03a potom klikněte na tlačítko OK.

Obrazovka Edit Binary Value

  1. Klikněte na možnost Soubor a poté vyberte možnost Ukončit.

Ukončení Editoru registru

Poznámka: Po povolení protokolování problém reprodukujte.
Zachycení
  1. Přihlaste se k dotčenému koncovému bodu.
  2. Pravým tlačítkem klikněte na nabídku Start systému Windows a poté vyberte možnost Spustit.

Spustit

  1. V uživatelském rozhraní Spustit zadejte příkaz eventvwr a potom klikněte na tlačítko OK.

Uživatelské rozhraní Spustit

  1. V Prohlížeči událostí rozbalte položku Protokoly systému Windows a klikněte na položku Systém.

Protokoly a systém Windows

  1. Pravým tlačítkem myši klikněte na položku protokol Systém a vyberte možnost Filtrovat aktuální protokol.

Filtrovat aktuální protokol

  1. Nastavte zdroj na hodnotu CSAgent.

Nastavení zdroje událostí na CSAgent

  1. Pravým tlačítkem myši klikněte na protokol Systém a vyberte možnost Uložit filtrovaný soubor protokolu jako…

Uložit filtrovaný soubor protokolu jako

  1. Změňte název souboru na CrowdStrike_[WORKSTATIONNAME].evtx a potom klikněte na tlačítko Uložit.

Změna názvu a uložení souboru

Poznámka: Společnost Dell Technologies doporučuje zadat [WORKSTATIONNAME] v případě, že k problému dochází na více koncových bodech.
Zakázání
  1. Přihlaste se k dotčenému koncovému bodu.
  2. Pravým tlačítkem klikněte na nabídku Start systému Windows a poté vyberte možnost Spustit.

Spustit

  1. V uživatelském rozhraní Spustit zadejte příkaz regedit a poté stisknutím kláves CTRL+SHIFT+ENTER spusťte Editor registru jako správce.

Uživatelské rozhraní Spustit

  1. Pokud je povolena funkce Řízení uživatelských účtů (UAC), klikněte na tlačítko Ano. V opačném případě pokračujte krokem 5.

Výzva Řízení uživatelských účtů

  1. Navštivte adresu [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registr

  1. Stiskněte klávesu Delete a zadejte 0a potom klikněte na tlačítko OK.

Úprava binární hodnoty

  1. Klikněte na možnost Soubor a poté vyberte možnost Ukončit.

Ukončení registru

Uživatel může odstraňovat problémy s aplikací CrowdStrike Falcon Sensor v systému Mac shromažďováním:

  • Instalace protokolů: Používají se k odstraňování problémů s instalací.
  • Protokoly produktu: Používají se k odstraňování problémů s aktivací, komunikací a při poruchách chování.

Další informace získáte po kliknutí na příslušný typ protokolu.

Instalace

Aplikace CrowdStrike Falcon Sensor používá k dokumentaci informací o instalaci nativní soubor install.log.

  1. V nabídce Apple klikněte na možnost Otevřít a poté na možnost Otevřít složku.

Přejít do složky

  1. Zadejte příkaz /var/log a potom klikněte na tlačítko Přejít.

Přejít do uživatelského rozhraní složky

  1. Kopírovat Install.log na snadno dostupné místo pro další šetření.

install.log

Poznámka: Společnost Dell Technologies doporučuje vyhledat "CrowdStrike", aby bylo zajištěno, že jsou informace relevantní pro řešení CrowdStrike.

Produkt

Před zachycením protokolů produktu se doporučuje povolit podrobnosti a poté problém reprodukovat. Po vyřešení problému se doporučuje podrobnosti zakázat . Další informace získáte po kliknutí na příslušný proces.

Povolení
Varování:
  • Společnost Dell Technologies doporučuje podrobnosti povolit pouze při odstraňování problémů.
  • Společnost Dell Technologies doporučuje po vyřešení problému podrobnosti zakázat.
  • Jestliže jsou podrobnosti povoleny, může na koncových bodech docházet ke snížení výkonu.
  1. Přihlaste se k dotčenému koncovému bodu.
  2. V nabídce Apple klikněte na možnost Otevřít a poté na možnost Utility.

Nástroje

  1. Dvakrát klikněte na Terminál.

Terminál

  1. Do terminálu zadejte příkaz sudo sysctl cs.feature=3 a poté stiskněte Enter.
  2. Vyplňte heslo pro sudoa poté stiskněte klávesu Enter.

Vyplnění hesla sudo terminálem

  1. Confirm cs.feature=3.

Uživatelské rozhraní terminálu

Poznámka: Po povolení protokolování problém reprodukujte.
Zachycení
  1. Přihlaste se k dotčenému koncovému bodu.
  2. V nabídce Apple klikněte na možnost Otevřít a poté na možnost Utility.

Nástroje

  1. Dvakrát klikněte na Terminál.

Terminál

  1. Do terminálu zadejte příkaz sudo /Library/CS/falconctl diagnose a poté stiskněte Enter.
  2. Vyplňte heslo pro sudoa poté stiskněte klávesu Enter.

Terminál vyplní heslo sudo.

  1. Po několika minutách falconctl_diagnose.tgz se vygeneruje v /private/tmp.
Zakázání
  1. Přihlaste se k dotčenému koncovému bodu.
  2. V nabídce Apple klikněte na možnost Otevřít a poté na možnost Utility.

Nástroje

  1. Dvakrát klikněte na Terminál.

Terminál

  1. Do terminálu zadejte příkaz sudo sysctl cs.feature=0 a poté stiskněte Enter.
  2. Vyplňte heslo pro sudoa poté stiskněte klávesu Enter.

Terminál vyplní heslo sudo.

  1. Confirm cs.feature=0.

Uživatelské rozhraní terminálu

  1. Přihlaste se k dotčenému koncovému bodu.
  2. Otevřete terminál Linux.

Terminál

Poznámka: Rozvržení uživatelského rozhraní (UI) se může mezi distribucemi systému Linux lišit.
  1. Do terminálu zadejte příkaz su root a poté stiskněte Enter.
  2. Vyplňte heslo pro sudoa poté stiskněte klávesu Enter.

Vyplnění hesla sudo terminálem

  1. Zadejte příkaz sudo mkdir /tmp/CrowdStrike a poté stiskněte Enter.

Adresář terminálu

Poznámka: Příklad /tmp/CrowdStrike adresář lze ve vašem prostředí upravit.
  1. Zadejte příkaz sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt a poté stiskněte Enter.
  2. Zadejte příkaz sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt a poté stiskněte Enter.
  3. Zadejte příkaz sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt a poté stiskněte Enter.
  4. Zadejte příkaz sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt a poté stiskněte Enter.

Uživatelské rozhraní terminálu

Poznámka: Různé distribuce systému Linux nemusí obsahovat všechny uvedené adresáře.
  1. Zaznamenejte všechny výstupní soubory do /tmp/CrowdStrike (Krok 5) pomocí protokolu SSH.

Výstup záznamu terminálu

Poznámka:
  • Ve výchozím nastavení je v distribucích systému Linux služba SSH zakázaná.
  • Po povolení SSH je možné pro připojení ke koncovému bodu Linux možné použít software jiných výrobců (např. PuTTY).

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.