CrowdStrike Falcon Sensor -lokien kerääminen

Summary: Opi keräämään CrowdStrike Falcon Sensor -lokit vianmääritystä varten. Vaiheittaiset oppaat ovat saatavilla Windowsille, Macille ja Linuxille.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Tässä artikkelissa käsitellään CrowdStrike Falcon -anturin lokien keräämismenetelmiä.

Tuotteet, joita asia koskee:

  • CrowdStrike Falcon Sensor

Käyttöjärjestelmät, joita asia koskee:

  • Windows
  • Mac
  • Linux

Cause

-

Resolution

On erittäin suositeltavaa kerätä lokit ennen CrowdStrike Falcon -anturin vianmääritystä tai yhteyden ottamista Dellin tukeen.

Huomautus: Lisätietoja yhteyden ottamisesta Dell-tukeen on kohdassa Dell Data Securityn kansainväliset tukipuhelinnumerot.

Katso tarvittavat lokitiedot valitsemalla Windows, Mac tai Linux .

Käyttäjä voi tehdä vianmäärityksen CrowdStrike Falcon Sensor Windowsissa keräämällä manuaalisesti lokit:

  • MSI-lokit : Käytetään asennusongelmien vianmääritykseen.
  • Tuotelokit : Käytetään aktivointi-, viestintä- ja toimintaongelmien vianmääritykseen.

Katso lisätietoja valitsemalla asianmukainen lokityyppi.

MSI

  1. Kirjaudu siihen päätepisteeseen, jota ongelma koskee.
  2. Napsauta Windowsin Käynnistä-valikkoa hiiren kakkospainikkeella ja valitse Suorita.

Suorita

  1. Kirjoita Suorita-kenttään jompikumpi:
    • Jos käyttäjän asentama: %LOCALAPPDATA%\Temp ja valitse sitten OK.
    • Jos automaattisen päivityksen asentama: %SYSTEMROOT%\Temp ja valitse sitten OK.

Suorita-kenttä

  1. Kerää:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Kuvassa on esimerkkejä lokitiedostoista.

Huomautus:
  • [TIMESTAMP] = Asennuspäivämäärä &; -aika
  • [BIT] = Edustaa joko Agent32:ta tai Agent64:ää

Tuote

On suositeltavaa ottaa monisanaisuus käyttöön ja toistaa ongelma ennen tuotelokien sieppausta. Kun ongelma on ratkaistu, suosittelemme poistamaan monisanaisuuden käytöstä . Katso lisätietoja valitsemalla asianmukainen prosessi.

Ota käyttöön
Varoitus:
  • Dell Technologies suosittelee, että monisanaisuus otetaan käyttöön vain ongelman vianmäärityksessä.
  • Dell Technologies suosittelee monisanaisuuden poistamista käytöstä, kun ongelma on ratkaistu.
  • Päätepisteiden suorituskyky saattaa heiketä, kun monisanaisuus on käytössä.
  1. Kirjaudu siihen päätepisteeseen, jota ongelma koskee.
  2. Napsauta Windowsin Käynnistä-valikkoa hiiren kakkospainikkeella ja valitse Suorita.

Suorita

  1. Kirjoita Suorita käyttöliittymä (UI) -kohtaan regedit ja paina sitten CTRL+VAIHTO+ENTER, jos haluat suorittaa rekisterieditorin järjestelmänvalvojana.

Suorita-kenttä

  1. Jos Käyttäjätilien valvonta on käytössä, valitse Kyllä. Siirry muutoin vaiheeseen 5.

Käyttäjätilien valvonnan kehote

  1. Mennä [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

rekisteri

  1. Kaksoisnapsauta AFLAGS.

AFLAGS rekisterissä

  1. Paina Delete-näppäintä, kirjoita 03ja valitse sitten OK.

Muokkaa binaariarvoa -näyttö

  1. Valitse Tiedosto ja Sulje.

Rekisterieditorista poistuminen

Huomautus: kun lokiin kirjaaminen on käytössä, toista ongelma.
Capture
  1. Kirjaudu siihen päätepisteeseen, jota ongelma koskee.
  2. Napsauta Windowsin Käynnistä-valikkoa hiiren kakkospainikkeella ja valitse Suorita.

Suorita

  1. Kirjoita Suorita käyttöliittymä (UI) -kohtaan eventvwr ja valitse sitten OK.

Suorita-kenttä

  1. Laajenna Tapahtumienvalvonnassa Windows-lokit ja valitse Järjestelmä.

Windows-lokit ja -järjestelmä

  1. Napsauta hiiren kakkospainikkeella Järjestelmä-lokia ja valitse Suodata nykyinen loki.

Suodata nykyinen loki

  1. Valitse Source-kohdassa CSAgent.

Tapahtumalähteen määrittäminen CSAgentiksi

  1. Napsauta järjestelmälokia hiiren kakkospainikkeella ja valitse Tallenna suodatettu lokitiedosto nimellä.

Tallenna suodatettu lokitiedosto nimellä

  1. Vaihda tiedostonimeksi CrowdStrike_[WORKSTATIONNAME].evtx ja valitse sitten Save.

Tiedostonimen muuttaminen ja tallentaminen

Huomautus: Dell Technologies suosittelee, että määritetään [WORKSTATIONNAME] Jos ongelma ilmenee useissa päätepisteissä.
Poista käytöstä
  1. Kirjaudu siihen päätepisteeseen, jota ongelma koskee.
  2. Napsauta Windowsin Käynnistä-valikkoa hiiren kakkospainikkeella ja valitse Suorita.

Suorita

  1. Kirjoita Suorita käyttöliittymä (UI) -kohtaan regedit ja paina sitten CTRL+VAIHTO+ENTER, jos haluat suorittaa rekisterieditorin järjestelmänvalvojana.

Suorita-kenttä

  1. Jos Käyttäjätilien valvonta on käytössä, valitse Kyllä. Siirry muutoin vaiheeseen 5.

Käyttäjätilien valvonnan kehote

  1. Siirry [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

rekisteri

  1. Paina Delete-näppäintä, kirjoita 0ja valitse sitten OK.

Muokkaa binaariarvoa

  1. Valitse Tiedosto ja Sulje.

Rekisteristä poistuminen

Käyttäjä voi suorittaa vianmäärityksen CrowdStrike Falcon Sensor Macissa keräämällä:

  • Asennuslokit : Käytetään asennusongelmien vianmääritykseen.
  • Tuotelokit : Käytetään aktivointi-, viestintä- ja toimintaongelmien vianmääritykseen.

Katso lisätietoja valitsemalla asianmukainen lokityyppi.

Asenna

CrowdStrike Falcon Sensor tallentaa asennustiedot alkuperäiseen install.log-tiedostoon.

  1. Valitse omenavalikosta Siirry ja Siirry kansioon.

Siirry kansioon

  1. Kirjoita /var/log ja napsauta sitten Siirry.

Siirry kansion käyttöliittymään

  1. Kopioi Install.log helposti saatavilla olevaan paikkaan lisätutkimuksia varten.

install.log

Huomautus: Dell Technologies suosittelee hakua "CrowdStrike", jotta tiedot ovat varmasti olennaisia CrowdStriken kannalta.

Tuote

On suositeltavaa ottaa monisanaisuus käyttöön ja toistaa ongelma ennen tuotelokien sieppausta. Kun ongelma on ratkaistu, suosittelemme poistamaan monisanaisuuden käytöstä . Katso lisätietoja valitsemalla asianmukainen prosessi.

Ota käyttöön
Varoitus:
  • Dell Technologies suosittelee, että monisanaisuus otetaan käyttöön vain ongelman vianmäärityksessä.
  • Dell Technologies suosittelee monisanaisuuden poistamista käytöstä, kun ongelma on ratkaistu.
  • Päätepisteiden suorituskyky saattaa heiketä, kun monisanaisuus on käytössä.
  1. Kirjaudu sisään päätepisteeseen.
  2. Valitse omenavalikosta Siirry ja Lisäohjelmat.

Lisäohjelmat

  1. Kaksoisnapsauta kohtaa Pääte.

Pääte

  1. Kirjoita Päätteeseen sudo sysctl cs.feature=3 ja paina sitten Enter-näppäintä.
  2. Kirjoita salasana kohteelle sudoja paina sitten Enter-näppäintä.

Pääte täyttää sudo-salasanan

  1. Vahvista cs.feature=3.

Päätteen käyttöliittymä

Huomautus: kun lokiin kirjaaminen on käytössä, toista ongelma.
Capture
  1. Kirjaudu siihen päätepisteeseen, jota ongelma koskee.
  2. Valitse omenavalikosta Siirry ja Lisäohjelmat.

Lisäohjelmat

  1. Kaksoisnapsauta kohtaa Pääte.

Pääte

  1. Kirjoita Päätteeseen sudo /Library/CS/falconctl diagnose ja paina sitten Enter-näppäintä.
  2. Kirjoita salasana kohteelle sudoja paina sitten Enter-näppäintä.

Sudo-salasanan täyttäminen päätteellä

  1. Useiden minuuttien kuluttua falconctl_diagnose.tgz luodaan /private/tmp.
Poista käytöstä
  1. Kirjaudu sisään päätepisteeseen.
  2. Valitse omenavalikosta Siirry ja Lisäohjelmat.

Lisäohjelmat

  1. Kaksoisnapsauta kohtaa Pääte.

Pääte

  1. Kirjoita Päätteeseen sudo sysctl cs.feature=0 ja paina sitten Enter-näppäintä.
  2. Kirjoita salasana kohteelle sudoja paina sitten Enter-näppäintä.

Sudo-salasanan täyttäminen päätteellä

  1. Vahvista cs.feature=0.

Päätteen käyttöliittymä

  1. Kirjaudu sisään päätepisteeseen.
  2. Avaa Linuxin pääte.

Pääte

Huomautus: käyttöliittymän asettelu voi vaihdella Linux-jakelun mukaan.
  1. Kirjoita Päätteeseen su root ja paina sitten Enter-näppäintä.
  2. Kirjoita salasana kohteelle sudoja paina sitten Enter-näppäintä.

Pääte täyttää sudo-salasanan

  1. Kirjoita sudo mkdir /tmp/CrowdStrike ja paina sitten Enter-näppäintä.

Päätelaitteiden valmistushakemisto

Huomautus: Esimerkki /tmp/CrowdStrike Hakemistoa voidaan muokata ympäristössäsi.
  1. Kirjoita sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt ja paina sitten Enter-näppäintä.
  2. Kirjoita sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt ja paina sitten Enter-näppäintä.
  3. Kirjoita sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt ja paina sitten Enter-näppäintä.
  4. Kirjoita sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt ja paina sitten Enter-näppäintä.

Päätteen käyttöliittymä

Huomautus: kaikkia hakemistoja ei välttämättä ole kaikissa Linux-jakeluissa.
  1. Kaappaa kaikki tulostetiedostot /tmp/CrowdStrike (Vaihe 5) SSH: n avulla.

Päätelaitteen kaappauslähtö

Huomautus:
  • SSH on oletusarvoisesti poissa käytöstä Linux-jakeluissa.
  • Kun SSH on otettu käyttöön, yhteys Linux-päätepisteeseen voidaan muodostaa kolmannen osapuolen ohjelmistolla (esimerkiksi PuTTY).

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.