Como coletar logs do sensor CrowdStrike Falcon

Summary: Saiba como coletar registros do sensor CrowdStrike Falcon para solução de problemas. Guias passo a passo estão disponíveis para Windows, Mac e Linux.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Este artigo discute os métodos para coletar registros para o sensor CrowdStrike Falcon.

Produtos afetados:

  • Sensor CrowdStrike Falcon

Sistemas operacionais afetados:

  • Windows
  • Mac
  • Linux

Cause

Não aplicável

Resolution

É altamente recomendável coletar registros antes de solucionar problemas do sensor CrowdStrike Falcon ou entrar em contato com o suporte da Dell.

Nota: Para obter mais informações sobre como entrar em contato com o Suporte Dell, consulte os Números de telefone do suporte internacional do Dell Data Security.

Clique em Windows, Mac ou Linux para obter informações relevantes de registro.

Um usuário pode solucionar problemas do sensor CrowdStrike Falcon no Windows coletando registros manualmente para:

  • Registros MSI : Usado para solucionar problemas de instalação.
  • Registros do produto: Usado para solucionar problemas de ativação, comunicação e comportamento.

Clique no tipo apropriado de log para obter mais informações.

MSI

  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (IU) Executar, digite:
    • Se a instalação tiver sido feita pelo usuário: %LOCALAPPDATA%\Temp e, em seguida, clique em OK.
    • Se a instalação tiver sido feita pela atualização automática: %SYSTEMROOT%\Temp e, em seguida, clique em OK.

IU Executar

  1. Colete:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

A imagem mostra exemplos de arquivos de log.

Nota:
  • [TIMESTAMP] = Data e hora da instalação
  • [BIT] = Representa o Agent32 ou o Agent64

Produto

É recomendável habilitar o detalhamento e, em seguida, reproduzir o problema antes da captura dos registros do produto. Depois que o problema for resolvido, é recomendável desativar o detalhamento. Clique no processo adequado para obter mais informações.

Ativar
Advertência:
  • A Dell Technologies recomenda habilitar o detalhamento somente ao solucionar um problema.
  • A Dell Technologies recomenda desativar o detalhamento depois que o problema for resolvido.
  • Os endpoints podem sofrer degradação do desempenho enquanto o detalhamento é ativado.
  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (UI) Executar, digite regedit e, em seguida, pressione CTRL+SHIFT+ENTER para executar o Editor do Registro como administrador.

IU Executar

  1. Se a opção UAC (User Account Control, controle da conta de usuário) estiver ativada, clique em Yes. Caso contrário, avance para a etapa 5.

Prompt de controle da conta de usuário

  1. Ir para [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registro

  1. Clique duas vezes AFLAGS.

AFLAGS no registro

  1. Pressione Delete, digite 03e, em seguida, clique em OK.

Editar tela Valor binário

  1. Clique em File (Arquivo) e, depois, em Exit (Sair).

Como sair do Editor do Registro

Nota: Depois que o log for ativado, reproduza o problema.
Captura
  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (UI) Executar, digite eventvwr e, em seguida, clique em OK.

IU Executar

  1. No Visualizador de Eventos, expanda Logs do Windows e clique em Sistema.

Registros e sistema do Windows

  1. Clique com o botão direito no log do sistema e selecione Filtrar Log Atual.

Filtrar registro atual

  1. Defina a origem como CSAgent.

Configurando a origem do evento como CSAgent

  1. Clique com o botão direito do mouse no log do sistema e selecione Salvar Arquivo de Log Filtrado Como.

Salvar arquivo de log filtrado como

  1. Alterar nome do arquivo para CrowdStrike_[WORKSTATIONNAME].evtx e, em seguida, clique em Salvar.

Alterando o nome do arquivo e salvando

Nota: A Dell Technologies recomenda especificar o [WORKSTATIONNAME] caso o problema esteja acontecendo em vários endpoints.
Desativar
  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (UI) Executar, digite regedit e, em seguida, pressione CTRL+SHIFT+ENTER para executar o Editor do Registro como administrador.

IU Executar

  1. Se a opção UAC (User Account Control, controle da conta de usuário) estiver ativada, clique em Yes. Caso contrário, avance para a etapa 5.

Prompt de controle da conta de usuário

  1. Acesse a página [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registro

  1. Pressione Delete, digite 0e, em seguida, clique em OK.

Editar valor binário

  1. Clique em File (Arquivo) e, depois, em Exit (Sair).

Como sair do registro

Um usuário pode solucionar problemas do sensor CrowdStrike Falcon no Mac coletando:

  • Registros de instalação: Usado para solucionar problemas de instalação.
  • Registros do produto: Usado para solucionar problemas de ativação, comunicação e comportamento.

Clique no tipo apropriado de log para obter mais informações.

Instalação

O sensor CrowdStrike Falcon usa o install.log nativo para documentar as informações de instalação.

  1. No menu Apple, clique em Go (Ir) e, em seguida, selecione Go to Folder (Ir para pasta).

Vá para a pasta

  1. Digite /var/log e, em seguida, clique em Go.

Vá para a interface do usuário da pasta

  1. Copiar Install.log para um local prontamente disponível para investigação mais detalhada.

install.log

Nota: A Dell Technologies recomenda pesquisar por "CrowdStrike" para garantir que as informações são relevantes para a CrowdStrike.

Produto

É recomendável habilitar o detalhamento e, em seguida, reproduzir o problema antes da captura dos registros do produto. Depois que o problema for resolvido, é recomendável desativar o detalhamento. Clique no processo adequado para obter mais informações.

Ativar
Advertência:
  • A Dell Technologies recomenda habilitar o detalhamento somente ao solucionar um problema.
  • A Dell Technologies recomenda desativar o detalhamento depois que o problema for resolvido.
  • Os endpoints podem sofrer degradação do desempenho enquanto o detalhamento é ativado.
  1. Faça login no endpoint afetado.
  2. No menu Apple, clique em Go e, em seguida, selecione Utilities.

Utilitários

  1. Clique duas vezes em Terminal.

Terminal

  1. Em Terminal, digite sudo sysctl cs.feature=3 e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Confirm cs.feature=3.

Interface do usuário do terminal

Nota: Depois que o log for ativado, reproduza o problema.
Captura
  1. Faça log-in no endpoint afetado.
  2. No menu Apple, clique em Go e, em seguida, selecione Utilities.

Utilitários

  1. Clique duas vezes em Terminal.

Terminal

  1. Em Terminal, digite sudo /Library/CS/falconctl diagnose e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Após alguns minutos, falconctl_diagnose.tgz serão gerados em /private/tmp.
Desativar
  1. Faça login no endpoint afetado.
  2. No menu Apple, clique em Go e, em seguida, selecione Utilities.

Utilitários

  1. Clique duas vezes em Terminal.

Terminal

  1. Em Terminal, digite sudo sysctl cs.feature=0 e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Confirm cs.feature=0.

Interface do usuário do terminal

  1. Faça login no endpoint afetado.
  2. Abra o Terminal do Linux.

Terminal

Nota: O layout da IU (interface do usuário) pode ser diferente entre as distribuições Linux.
  1. Em Terminal, digite su root e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Digite sudo mkdir /tmp/CrowdStrike e pressione Enter.

Diretório de tomada de terminal

Nota: O exemplo /tmp/CrowdStrike O diretório pode ser modificado em seu ambiente.
  1. Digite sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt e pressione Enter.
  2. Digite sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt e pressione Enter.
  3. Digite sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt e pressione Enter.
  4. Digite sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt e pressione Enter.

Interface do usuário do terminal

Nota: As distribuições Linux podem não ter todos os diretórios listados.
  1. Capturar todos os arquivos de saída no /tmp/CrowdStrike (Etapa 5) usando SSH.

Resultado da captura de terminal

Nota:
  • Por padrão, o SSH é desativado nas distribuições do Linux.
  • Assim que o SSH for ativado, um software de terceiro (como o PuTTY) poderá ser usado para a conexão ao endpoint Linux.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.