メイン コンテンツに進む
ログアウト

Dellへようこそ

マイアカウント
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。
ログイン アカウントの新規作成 プレミアログイン パートナー プログラム サインイン
お問い合わせ

Dell.comカート

文書番号: 000178209

Jak shromažďovat protokoly aplikace CrowdStrike Falcon Sensor

概要: Zjistěte, jak shromažďovat protokoly aplikace CrowdStrike Falcon Sensor pro odstraňování problémů. Podrobné návody jsou k dispozici pro systémy Windows, Mac a Linux.

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容

現象

Tento článek pojednává o metodách shromažďování protokolů pro aplikaci CrowdStrike Falcon Sensor.

Dotčené produkty:

  • CrowdStrike Falcon Sensor

Dotčené operační systémy:

  • Windows
  • Mac
  • Linux

原因

Není k dispozici

解決方法

Před odstraňováním problémů s aplikací CrowdStrike Falcon Sensor nebo kontaktováním podpory společnosti Dell důrazně doporučujeme shromáždit protokoly.

Poznámka: Další informace o kontaktování podpory společnosti Dell naleznete v článku Telefonní čísla mezinárodní podpory Dell Data Security.

Relevantní informace o protokolování získáte po kliknutí na systém Windows, Mac nebo Linux .

Uživatel může odstraňovat problémy s aplikací CrowdStrike Falcon Sensor v systému Windows ručním shromažďováním protokolů pro:

  • Protokoly MSI: Používají se k odstraňování problémů s instalací.
  • Protokoly produktu: Používají se k odstraňování problémů s aktivací, komunikací a při poruchách chování.

Další informace získáte po kliknutí na příslušný typ protokolování.

MSI

  1. Přihlaste se k dotčenému koncovému bodu.
  2. Pravým tlačítkem klikněte na nabídku Start systému Windows a poté vyberte možnost Spustit.

Spustit

  1. V uživatelském rozhraní Spustit zadejte jednu z následujících variant:
    • Pokud instalaci provedl uživatel: %LOCALAPPDATA%\Temp a potom klikněte na tlačítko OK.
    • Pokud instalaci provedla automatická aktualizace: %SYSTEMROOT%\Temp a potom klikněte na tlačítko OK.

Uživatelské rozhraní Spustit

  1. Shromážděte:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Na obrázku jsou ukázkové soubory protokolů.

Poznámka:
  • [TIMESTAMP] = Datum a čas instalace
  • [BIT] = Představuje agenta 32 nebo Agent64.

Produkt

Před zachycením protokolů produktu se doporučuje povolit podrobnosti a poté problém reprodukovat. Po vyřešení problému se doporučuje podrobnosti zakázat . Další informace získáte po kliknutí na příslušný proces.

Povolení
Varování:
  • Společnost Dell Technologies doporučuje podrobnosti povolit pouze při odstraňování problémů.
  • Společnost Dell Technologies doporučuje po vyřešení problému podrobnosti zakázat.
  • Jestliže jsou podrobnosti povoleny, může na koncových bodech docházet ke snížení výkonu.
  1. Přihlaste se k dotčenému koncovému bodu.
  2. Pravým tlačítkem klikněte na nabídku Start systému Windows a poté vyberte možnost Spustit.

Spustit

  1. V uživatelském rozhraní Spustit zadejte příkaz regedit a poté stisknutím kláves CTRL+SHIFT+ENTER spusťte Editor registru jako správce.

Uživatelské rozhraní Spustit

  1. Pokud je povolena funkce Řízení uživatelských účtů (UAC), klikněte na tlačítko Ano. V opačném případě pokračujte krokem 5.

Výzva Řízení uživatelských účtů

  1. Přejít na [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registr

  1. Poklepejte AFLAGS.

AFLAGS v registru

  1. Stiskněte klávesu Delete a zadejte 03a potom klikněte na tlačítko OK.

Obrazovka Edit Binary Value

  1. Klikněte na možnost Soubor a poté vyberte možnost Ukončit.

Ukončení Editoru registru

Poznámka: Po povolení protokolování problém reprodukujte.
Zachycení
  1. Přihlaste se k dotčenému koncovému bodu.
  2. Pravým tlačítkem klikněte na nabídku Start systému Windows a poté vyberte možnost Spustit.

Spustit

  1. V uživatelském rozhraní Spustit zadejte příkaz eventvwr a potom klikněte na tlačítko OK.

Uživatelské rozhraní Spustit

  1. V Prohlížeči událostí rozbalte položku Protokoly systému Windows a klikněte na položku Systém.

Protokoly a systém Windows

  1. Pravým tlačítkem myši klikněte na položku protokol Systém a vyberte možnost Filtrovat aktuální protokol.

Filtrovat aktuální protokol

  1. Nastavte zdroj na hodnotu CSAgent.

Nastavení zdroje událostí na CSAgent

  1. Pravým tlačítkem myši klikněte na protokol Systém a vyberte možnost Uložit filtrovaný soubor protokolu jako…

Uložit filtrovaný soubor protokolu jako

  1. Změňte název souboru na CrowdStrike_[WORKSTATIONNAME].evtx a potom klikněte na tlačítko Uložit.

Změna názvu a uložení souboru

Poznámka: Společnost Dell Technologies doporučuje zadat [WORKSTATIONNAME] v případě, že k problému dochází na více koncových bodech.
Zakázání
  1. Přihlaste se k dotčenému koncovému bodu.
  2. Pravým tlačítkem klikněte na nabídku Start systému Windows a poté vyberte možnost Spustit.

Spustit

  1. V uživatelském rozhraní Spustit zadejte příkaz regedit a poté stisknutím kláves CTRL+SHIFT+ENTER spusťte Editor registru jako správce.

Uživatelské rozhraní Spustit

  1. Pokud je povolena funkce Řízení uživatelských účtů (UAC), klikněte na tlačítko Ano. V opačném případě pokračujte krokem 5.

Výzva Řízení uživatelských účtů

  1. Navštivte adresu [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registr

  1. Stiskněte klávesu Delete a zadejte 0a potom klikněte na tlačítko OK.

Úprava binární hodnoty

  1. Klikněte na možnost Soubor a poté vyberte možnost Ukončit.

Ukončení registru

Uživatel může odstraňovat problémy s aplikací CrowdStrike Falcon Sensor v systému Mac shromažďováním:

  • Instalace protokolů: Používají se k odstraňování problémů s instalací.
  • Protokoly produktu: Používají se k odstraňování problémů s aktivací, komunikací a při poruchách chování.

Další informace získáte po kliknutí na příslušný typ protokolu.

Instalace

Aplikace CrowdStrike Falcon Sensor používá k dokumentaci informací o instalaci nativní soubor install.log.

  1. V nabídce Apple klikněte na možnost Otevřít a poté na možnost Otevřít složku.

Přejít do složky

  1. Zadejte příkaz /var/log a potom klikněte na tlačítko Přejít.

Přejít do uživatelského rozhraní složky

  1. Kopírovat Install.log na snadno dostupné místo pro další šetření.

install.log

Poznámka: Společnost Dell Technologies doporučuje vyhledat "CrowdStrike", aby bylo zajištěno, že jsou informace relevantní pro řešení CrowdStrike.

Produkt

Před zachycením protokolů produktu se doporučuje povolit podrobnosti a poté problém reprodukovat. Po vyřešení problému se doporučuje podrobnosti zakázat . Další informace získáte po kliknutí na příslušný proces.

Povolení
Varování:
  • Společnost Dell Technologies doporučuje podrobnosti povolit pouze při odstraňování problémů.
  • Společnost Dell Technologies doporučuje po vyřešení problému podrobnosti zakázat.
  • Jestliže jsou podrobnosti povoleny, může na koncových bodech docházet ke snížení výkonu.
  1. Přihlaste se k dotčenému koncovému bodu.
  2. V nabídce Apple klikněte na možnost Otevřít a poté na možnost Utility.

Nástroje

  1. Dvakrát klikněte na Terminál.

Terminál

  1. Do terminálu zadejte příkaz sudo sysctl cs.feature=3 a poté stiskněte Enter.
  2. Vyplňte heslo pro sudoa poté stiskněte klávesu Enter.

Vyplnění hesla sudo terminálem

  1. Confirm cs.feature=3.

Uživatelské rozhraní terminálu

Poznámka: Po povolení protokolování problém reprodukujte.
Zachycení
  1. Přihlaste se k dotčenému koncovému bodu.
  2. V nabídce Apple klikněte na možnost Otevřít a poté na možnost Utility.

Nástroje

  1. Dvakrát klikněte na Terminál.

Terminál

  1. Do terminálu zadejte příkaz sudo /Library/CS/falconctl diagnose a poté stiskněte Enter.
  2. Vyplňte heslo pro sudoa poté stiskněte klávesu Enter.

Terminál vyplní heslo sudo.

  1. Po několika minutách falconctl_diagnose.tgz se vygeneruje v /private/tmp.
Zakázání
  1. Přihlaste se k dotčenému koncovému bodu.
  2. V nabídce Apple klikněte na možnost Otevřít a poté na možnost Utility.

Nástroje

  1. Dvakrát klikněte na Terminál.

Terminál

  1. Do terminálu zadejte příkaz sudo sysctl cs.feature=0 a poté stiskněte Enter.
  2. Vyplňte heslo pro sudoa poté stiskněte klávesu Enter.

Terminál vyplní heslo sudo.

  1. Confirm cs.feature=0.

Uživatelské rozhraní terminálu

  1. Přihlaste se k dotčenému koncovému bodu.
  2. Otevřete terminál Linux.

Terminál

Poznámka: Rozvržení uživatelského rozhraní (UI) se může mezi distribucemi systému Linux lišit.
  1. Do terminálu zadejte příkaz su root a poté stiskněte Enter.
  2. Vyplňte heslo pro sudoa poté stiskněte klávesu Enter.

Vyplnění hesla sudo terminálem

  1. Zadejte příkaz sudo mkdir /tmp/CrowdStrike a poté stiskněte Enter.

Adresář terminálu

Poznámka: Příklad /tmp/CrowdStrike adresář lze ve vašem prostředí upravit.
  1. Zadejte příkaz sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt a poté stiskněte Enter.
  2. Zadejte příkaz sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt a poté stiskněte Enter.
  3. Zadejte příkaz sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt a poté stiskněte Enter.
  4. Zadejte příkaz sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt a poté stiskněte Enter.

Uživatelské rozhraní terminálu

Poznámka: Různé distribuce systému Linux nemusí obsahovat všechny uvedené adresáře.
  1. Zaznamenejte všechny výstupní soubory do /tmp/CrowdStrike (Krok 5) pomocí protokolu SSH.

Výstup záznamu terminálu

Poznámka:
  • Ve výchozím nastavení je v distribucích systému Linux služba SSH zakázaná.
  • Po povolení SSH je možné pro připojení ke koncovému bodu Linux možné použít software jiných výrobců (např. PuTTY).

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

その他の情報

 

ビデオ

 

文書のプロパティ

影響を受ける製品

CrowdStrike

最後に公開された日付

01 2月 2024

バージョン

17

文書の種類

Solution

トップに戻る