如何收集 CrowdStrike Falcon Sensor 記錄

Summary: 瞭解如何收集 CrowdStrike Falcon 感測器記錄以進行故障診斷。Windows、Mac 和 Linux 提供逐步指南。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

本文探討收集 CrowdStrike Falcon 感測器記錄的方法。

受影響的產品:

  • CrowdStrike Falcon Sensor

受影響的作業系統:

  • Windows
  • Mac
  • Linux

Cause

不適用

Resolution

強烈建議您在故障排除 CrowdStrike Falcon 感測器或聯絡 Dell 支援部門之前,先收集記錄檔。

注意:若要瞭解如何聯絡 Dell 支援的更多資訊,請參閱 Dell Data Security 國際支援電話號碼

單擊 WindowsMacLinux 以取得相關的記錄資訊。

使用者可以手動收集以下記錄,在 Windows 上疑難解答 CrowdStrike Falcon 感測器:

  • MSI 記錄:用於故障診斷安裝問題。
  • 產品 記錄:用於故障診斷啟用、通訊和行為問題。

如需詳細資訊,請按一下適當的記錄類型。

MSI

  1. 登入 受影響的端點。
  2. 以滑鼠右鍵按一下 Windows「開始」功能表,然後選取執行

執行

  1. 在執行使用者介面 (UI) 中,輸入以下任一項:
    • 若由使用者安裝: %LOCALAPPDATA%\Temp 然後按一下 「OK」
    • 如果是透過自動更新安裝: %SYSTEMROOT%\Temp 然後按一下 「OK」

執行 UI

  1. 收集
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

此影像顯示範例記錄檔。

注意:
  • [TIMESTAMP] = 安裝日期與時間
  • [BIT] = 代表 Agent32 或 Agent64

產品

建議 您啟用 詳細數據,然後在 擷取 產品記錄之前重現問題。問題解決后,建議 您停 用詳細資訊。如需詳細資訊,請按一下適當的程序。

啟用
警告:
  • Dell Technologies 建議您僅在故障排除問題時啟用詳細功能。
  • Dell Technologies 建議您在問題解決後停用詳細資訊。
  • 啟用詳細資料時,端點可能會發生效能下降的情況。
  1. 登入 受影響的端點。
  2. 以滑鼠右鍵按一下 Windows「開始」功能表,然後選取執行

執行

  1. 在執行使用者介面 (UI) 中鍵入 regedit 然後按下 CTRL+SHIFT+ENTER,以系統管理員身分執行登錄編輯器。

執行 UI

  1. 如果已啟用使用者帳戶控制 (UAC),請按一下。否則,請前往步驟 5。

使用者帳戶控制提示

  1. 移至(G) [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]

登錄檔

  1. 連按兩下 AFLAGS

登錄檔中的區標

  1. 下 Delete 鍵,鍵入 03然後按一下 「OK」

編輯二進位值畫面

  1. 按一下檔案,然後選取退出

結束登錄編輯器

注意:啟用記錄後,即可重現問題。
擷取
  1. 登入 受影響的端點。
  2. 以滑鼠右鍵按一下 Windows「開始」功能表,然後選取執行

執行

  1. 在執行使用者介面 (UI) 中鍵入 eventvwr 然後按一下 「OK」

執行 UI

  1. 在「事件檢視器」中,展開 Windows 記錄,然後按一下系統

Windows 記錄和系統

  1. 以滑鼠右鍵按一下系統記錄,然後選取篩選目前的記錄

篩選目前的記錄

  1. 來源 設定為 CSAgent

將事件來源設定為 CSAgent

  1. 以滑鼠右鍵按一下系統記錄,然後選取將篩選的記錄檔另存新檔

儲存篩選的記錄檔作為

  1. 將檔名變更為 CrowdStrike_[WORKSTATIONNAME].evtx 然後按下[ Save] (儲存)

變更檔名並儲存

注意:Dell Technologies 建議您指定 [WORKSTATIONNAME] 萬一多個端點發生問題。
停用
  1. 登入 受影響的端點。
  2. 以滑鼠右鍵按一下 Windows「開始」功能表,然後選取執行

執行

  1. 在執行使用者介面 (UI) 中鍵入 regedit 然後按下 CTRL+SHIFT+ENTER,以系統管理員身分執行登錄編輯器。

執行 UI

  1. 如果已啟用使用者帳戶控制 (UAC),請按一下。否則請前往步驟 5。

使用者帳戶控制提示

  1. 移至(G) [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]

登錄檔

  1. 下 Delete 鍵,鍵入 0然後按一下 「OK」

編輯二進位值

  1. 按一下檔案,然後選取退出

結束登錄

使用者可以收集以下數據,對 Mac 上的 CrowdStrike Falcon 感測器進行故障診斷:

  • 安裝 記錄:用於故障診斷安裝問題。
  • 產品 記錄:用於故障診斷啟用、通訊和行為問題。

如需詳細資訊,請按一下適當的紀錄類型。

安裝

CrowdStrike Falcon Sensor 使用原生 install.log 記錄安裝資訊。

  1. 從 Apple 功能表中,按一下「前往」,然後選取前往資料夾

前往資料夾

  1. 類型 /var/log 然後按兩 下「Go」

移至資料夾 UI

  1. 複製 Install.log 前往立即可用的位置以利進一步調查。

install.log

注意:Dell Technologies 建議您搜尋「CrowdStrike」,以確保該資訊與 CrowdStrike 相關。

產品

建議 您啟用 詳細數據,然後在 擷取 產品記錄之前重現問題。問題解決后,建議 您停 用詳細資訊。如需詳細資訊,請按一下適當的程序。

啟用
警告:
  • Dell Technologies 建議您僅在故障排除問題時啟用詳細功能。
  • Dell Technologies 建議您在問題解決後停用詳細資訊。
  • 啟用詳細資料時,端點可能會發生效能下降的情況。
  1. 登入受影響的端點。
  2. 在 Apple 功能表中,按一下執行,然後選取公用程式

公用程式

  1. 按兩下終端機

終端機

  1. 在終端機中,輸入 sudo sysctl cs.feature=3 然後按下 Enter 鍵。
  2. 填入密碼 sudo然後按下 Enter 鍵。

終端機填入 sudo 密碼

  1. 確認 cs.feature=3

終端機 UI

注意:啟用記錄後,即可重現問題。
擷取
  1. 登入 受影響的端點。
  2. 在 Apple 功能表中,按一下執行,然後選取公用程式

公用程式

  1. 按兩下終端機

終端機

  1. 在終端機中,輸入 sudo /Library/CS/falconctl diagnose 然後按下 Enter 鍵。
  2. 填入密碼 sudo然後按下 Enter 鍵。

終端機填入 sudo 密碼

  1. 數分鐘后, falconctl_diagnose.tgz 將產生於 /private/tmp
停用
  1. 登入受影響的端點。
  2. 在 Apple 功能表中,按一下執行,然後選取公用程式

公用程式

  1. 按兩下終端機

終端機

  1. 在終端機中,輸入 sudo sysctl cs.feature=0 然後按下 Enter 鍵。
  2. 填入密碼 sudo然後按下 Enter 鍵。

終端機填入 sudo 密碼

  1. 確認 cs.feature=0

終端機 UI

  1. 登入受影響的端點。
  2. 開啟 Linux 終端機

終端機

注意:Linux 發行版本的使用者介面 (UI) 配置可能有所不同。
  1. 在終端機中,輸入 su root 然後按下 Enter 鍵。
  2. 填入密碼 sudo然後按下 Enter 鍵。

終端機填入 sudo 密碼

  1. 類型 sudo mkdir /tmp/CrowdStrike 然後按下 Enter 鍵。

終端機制作目錄

注意:範例 /tmp/CrowdStrike 可在您的環境中修改目錄。
  1. 類型 sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt 然後按下 Enter 鍵。
  2. 類型 sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt 然後按下 Enter 鍵。
  3. 類型 sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt 然後按下 Enter 鍵。
  4. 類型 sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt 然後按下 Enter 鍵。

終端機 UI

注意:Linux 版本可能沒有所有列出的目錄。
  1. 擷取內的所有輸出檔案 /tmp/CrowdStrike (步驟 5) 使用 SSH。

終端機報托輸出

注意:
  • 根據預設,Linux 版本上的 SSH 已停用。
  • 啟用 SSH 後,第三方軟體 (例如 PuTTY) 即可用來連線至 Linux 端點。

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

Additional Information

 

Videos

 

Affected Products

CrowdStrike
Article Properties
Article Number: 000178209
Article Type: Solution
Last Modified: 01 Feb 2024
Version:  17
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.