メイン コンテンツに進む
ログアウト

Dellへようこそ

マイアカウント
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。
ログイン アカウントの新規作成 プレミアログイン パートナー プログラム サインイン
お問い合わせ

Dell.comカート

文書番号: 000178209

Sådan indsamles CrowdStrike Falcon Sensor-logfiler

概要: Få mere at vide om, hvordan du indsamler CrowdStrike Falcon-sensorlogfiler til fejlfinding. Trinvise vejledninger er tilgængelige til Windows, Mac og Linux.

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容

現象

Denne artikel diskuterer metoderne til indsamling af logfiler til CrowdStrike Falcon Sensor.

Berørte produkter:

  • CrowdStrike Falcon Sensor

Påvirkede operativsystemer:

  • Windows
  • Mac
  • Linux

原因

Ikke relevant

解決方法

Det anbefales på det kraftigste at indsamle logfiler, før du foretager fejlfinding af CrowdStrike Falcon-sensoren eller kontakter Dells support.

Bemærk: Du kan finde flere oplysninger om, hvordan du kontakter Dells support, i Telefonnumre til Dell Data Security International Support.

Klik på Windows, Mac eller Linux for at få relevante logføringsoplysninger.

En bruger kan fejlfinde CrowdStrike Falcon Sensor på Windows ved manuelt at indsamle logfiler for:

  • MSI-logfiler : Bruges til fejlfinding af installationsproblemer.
  • Produktlogfiler : Bruges til fejlfinding af aktiverings-, kommunikations- og adfærdsproblemer.

Klik på den pågældende logføringstype for at få flere oplysninger.

MSI

  1. Log på det berørte slutpunkt.
  2. Højreklik på startmenuen i Windows, og vælg herefter Kør.

Kør

  1. Skriv i brugergrænsefladen Kør enten:
    • Hvis installeret af brugeren: %LOCALAPPDATA%\Temp og klik derefter på OK.
    • Hvis installeret af automatisk opdatering: %SYSTEMROOT%\Temp og klik derefter på OK.

Brugergrænsefladen Kør

  1. Indsaml:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Billedet viser eksempellogfiler.

Bemærk:
  • [TIMESTAMP] = Dato og klokkeslæt for installationen
  • [BIT] = Repræsenterer enten Agent32 eller Agent64

Produkt

Det anbefales at aktivere omfang og derefter genskabe problemet før registrering af produktlogfiler. Når problemet er løst, anbefales det at deaktivere omfang. Klik på den relevante proces for at få flere oplysninger.

Aktiver
Advarsel:
  • Dell Technologies anbefaler, at du kun aktiverer omfangsbeskyttelse ved fejlfinding af et problem.
  • Dell Technologies anbefaler, at du deaktiverer omfanget, når problemet er løst.
  • Slutpunkter kan opleve en ydelsesnedsættelse, mens informationsmængden er aktiveret.
  1. Log på det berørte slutpunkt.
  2. Højreklik på startmenuen i Windows, og vælg herefter Kør.

Kør

  1. I brugergrænsefladen Kør skal du skrive regedit og derefter trykke på CTRL+SKIFT+ENTER for at køre registreringseditoren som administrator.

Brugergrænsefladen Kør

  1. Hvis Kontrol af brugerkonto (UAC) er aktiveret, skal du klikke på Ja. Ellers skal du gå til trin 5.

Prompt til kontrol af brugerkonti

  1. Gå til [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registreringsdatabasen

  1. Dobbeltklik AFLAGS.

AFLAGS i registreringsdatabasen

  1. Tryk på Delete, skriv 03, og klik derefter på OK.

Skærmbilledet Rediger binær værdi

  1. Klik på Fil, og vælg derefter Afslut.

Afslut Registreringseditor

Bemærk: Når logføring er aktiveret, skal du genskabe problemet.
Registrering
  1. Log på det berørte slutpunkt.
  2. Højreklik på startmenuen i Windows, og vælg herefter Kør.

Kør

  1. I brugergrænsefladen Kør skal du skrive eventvwr og klik derefter på OK.

Brugergrænsefladen Kør

  1. Udvid Windows-logfiler i Logbog , og klik derefter på System.

Windows-logfiler og -system

  1. Højreklik på systemloggen, og vælg derefter Filtrer den aktuelle logfil.

Filtrer den aktuelle logfil

  1. Indstil kilden til CSAgent.

Indstilling af hændelseskilde til CSAgent

  1. Højreklik på systemloggen, og vælg derefter Gem filtreret logfil som.

Gem filtreret logfil som

  1. Skift filnavn til CrowdStrike_[WORKSTATIONNAME].evtx og derefter klikke på Gem.

Ændre filnavn og gemme

Bemærk: Dell Technologies anbefaler, at du specificerer [WORKSTATIONNAME] i tilfælde af, at problemet opstår på flere slutpunkter.
Deaktiver
  1. Log på det berørte slutpunkt.
  2. Højreklik på startmenuen i Windows, og vælg herefter Kør.

Kør

  1. I brugergrænsefladen Kør skal du skrive regedit og derefter trykke på CTRL+SKIFT+ENTER for at køre registreringseditoren som administrator.

Brugergrænsefladen Kør

  1. Hvis Kontrol af brugerkonto (UAC) er aktiveret, skal du klikke på Ja. Ellers skal du gå til trin 5.

Prompt til kontrol af brugerkonti

  1. Gå til [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registreringsdatabasen

  1. Tryk på Delete, skriv 0, og klik derefter på OK.

Rediger binær værdi

  1. Klik på Fil, og vælg derefter Afslut.

Afslutning af registreringsdatabasen

En bruger kan fejlfinde CrowdStrike Falcon Sensor på Mac ved at indsamle:

  • Installer logfiler: Bruges til fejlfinding af installationsproblemer.
  • Produktlogfiler : Bruges til fejlfinding af aktiverings-, kommunikations- og adfærdsproblemer.

Klik på den relevante logtype for at få flere oplysninger.

Installer

CrowdStrike Falcon Sensor anvender den oprindelige install.log til at dokumentere installationsoplysninger.

  1. I Apple-menuen skal du klikke på Start og derefter vælge Gå til mappe.

Gå til mappe

  1. Skriv /var/log , og klik derefter på .

Gå til mappens brugergrænseflade

  1. Kopier Install.log til et let tilgængeligt sted med henblik på yderligere undersøgelser.

install.log

Bemærk: Dell Technologies anbefaler, at du søger efter "CrowdStrike" for at sikre, at oplysningerne er relevante for CrowdStrike.

Produkt

Det anbefales at aktivere omfang og derefter genskabe problemet før registrering af produktlogfiler. Når problemet er løst, anbefales det at deaktivere omfang. Klik på den relevante proces for at få flere oplysninger.

Aktiver
Advarsel:
  • Dell Technologies anbefaler, at du kun aktiverer omfangsbeskyttelse ved fejlfinding af et problem.
  • Dell Technologies anbefaler, at du deaktiverer omfanget, når problemet er løst.
  • Slutpunkter kan opleve en ydelsesnedsættelse, mens informationsmængden er aktiveret.
  1. Log på det berørte slutpunkt.
  2. I Apple-menuen skal du klikke på Start og derefter vælge Hjælpeprogrammer.

Hjælpeprogrammer

  1. Dobbeltklik på Terminal.

Terminal

  1. Skriv i Terminal sudo sysctl cs.feature=3 og derefter trykke på Enter.
  2. Udfyld adgangskoden til sudo, og tryk derefter på Enter.

Terminal, der udfylder sudo-adgangskode

  1. Bekræfte cs.feature=3.

Terminalbrugergrænseflade

Bemærk: Når logføring er aktiveret, skal du genskabe problemet.
Registrering
  1. Log på det berørte slutpunkt.
  2. I Apple-menuen skal du klikke på Start og derefter vælge Hjælpeprogrammer.

Hjælpeprogrammer

  1. Dobbeltklik på Terminal.

Terminal

  1. Skriv i Terminal sudo /Library/CS/falconctl diagnose og derefter trykke på Enter.
  2. Udfyld adgangskoden til sudo, og tryk derefter på Enter.

Terminal, der udfylder sudo-adgangskoden

  1. Efter flere minutter, falconctl_diagnose.tgz vil blive genereret i /private/tmp.
Deaktiver
  1. Log på det berørte slutpunkt.
  2. I Apple-menuen skal du klikke på Start og derefter vælge Hjælpeprogrammer.

Hjælpeprogrammer

  1. Dobbeltklik på Terminal.

Terminal

  1. Skriv i Terminal sudo sysctl cs.feature=0 og derefter trykke på Enter.
  2. Udfyld adgangskoden til sudo, og tryk derefter på Enter.

Terminal, der udfylder sudo-adgangskoden

  1. Bekræfte cs.feature=0.

Terminalbrugergrænseflade

  1. Log på det berørte slutpunkt.
  2. Åbn Linux Terminal.

Terminal

Bemærk: Brugergrænsefladens layout kan variere mellem Linux-distributioner.
  1. Skriv i Terminal su root og derefter trykke på Enter.
  2. Udfyld adgangskoden til sudo, og tryk derefter på Enter.

Terminal, der udfylder sudo-adgangskode

  1. Skriv sudo mkdir /tmp/CrowdStrike og derefter trykke på Enter.

Bibliotek til fremstilling af terminaler

Bemærk: Eksemplet /tmp/CrowdStrike Mappen kan ændres i dit miljø.
  1. Skriv sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt og derefter trykke på Enter.
  2. Skriv sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt og derefter trykke på Enter.
  3. Skriv sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt og derefter trykke på Enter.
  4. Skriv sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt og derefter trykke på Enter.

Terminalbrugergrænseflade

Bemærk: Linux-distributioner har muligvis ikke alle anførte mapper.
  1. Optag alle outputfiler indeni /tmp/CrowdStrike (Trin 5) ved hjælp af SSH.

Terminal, der fanger output

Bemærk:
  • Som standard er SSH deaktiveret på Linux-distributioner.
  • Når SSH er aktiveret, kan tredjepartssoftware (såsom PuTTY) bruges til at oprette forbindelse til Linux-slutpunktet.

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

その他の情報

 

ビデオ

 

文書のプロパティ

影響を受ける製品

CrowdStrike

最後に公開された日付

01 2月 2024

バージョン

17

文書の種類

Solution

トップに戻る