メイン コンテンツに進む
ログアウト

Dellへようこそ

マイアカウント
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。
ログイン アカウントの新規作成 プレミアログイン パートナー プログラム サインイン
お問い合わせ

Dell.comカート

文書番号: 000178209

Como coletar logs do sensor CrowdStrike Falcon

概要: Saiba como coletar registros do sensor CrowdStrike Falcon para solução de problemas. Guias passo a passo estão disponíveis para Windows, Mac e Linux.

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容

現象

Este artigo discute os métodos para coletar registros para o sensor CrowdStrike Falcon.

Produtos afetados:

  • Sensor CrowdStrike Falcon

Sistemas operacionais afetados:

  • Windows
  • Mac
  • Linux

原因

Não aplicável

解決方法

É altamente recomendável coletar registros antes de solucionar problemas do sensor CrowdStrike Falcon ou entrar em contato com o suporte da Dell.

Nota: Para obter mais informações sobre como entrar em contato com o Suporte Dell, consulte os Números de telefone do suporte internacional do Dell Data Security.

Clique em Windows, Mac ou Linux para obter informações relevantes de registro.

Um usuário pode solucionar problemas do sensor CrowdStrike Falcon no Windows coletando registros manualmente para:

  • Registros MSI : Usado para solucionar problemas de instalação.
  • Registros do produto: Usado para solucionar problemas de ativação, comunicação e comportamento.

Clique no tipo apropriado de log para obter mais informações.

MSI

  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (IU) Executar, digite:
    • Se a instalação tiver sido feita pelo usuário: %LOCALAPPDATA%\Temp e, em seguida, clique em OK.
    • Se a instalação tiver sido feita pela atualização automática: %SYSTEMROOT%\Temp e, em seguida, clique em OK.

IU Executar

  1. Colete:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

A imagem mostra exemplos de arquivos de log.

Nota:
  • [TIMESTAMP] = Data e hora da instalação
  • [BIT] = Representa o Agent32 ou o Agent64

Produto

É recomendável habilitar o detalhamento e, em seguida, reproduzir o problema antes da captura dos registros do produto. Depois que o problema for resolvido, é recomendável desativar o detalhamento. Clique no processo adequado para obter mais informações.

Ativar
Advertência:
  • A Dell Technologies recomenda habilitar o detalhamento somente ao solucionar um problema.
  • A Dell Technologies recomenda desativar o detalhamento depois que o problema for resolvido.
  • Os endpoints podem sofrer degradação do desempenho enquanto o detalhamento é ativado.
  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (UI) Executar, digite regedit e, em seguida, pressione CTRL+SHIFT+ENTER para executar o Editor do Registro como administrador.

IU Executar

  1. Se a opção UAC (User Account Control, controle da conta de usuário) estiver ativada, clique em Yes. Caso contrário, avance para a etapa 5.

Prompt de controle da conta de usuário

  1. Ir para [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registro

  1. Clique duas vezes AFLAGS.

AFLAGS no registro

  1. Pressione Delete, digite 03e, em seguida, clique em OK.

Editar tela Valor binário

  1. Clique em File (Arquivo) e, depois, em Exit (Sair).

Como sair do Editor do Registro

Nota: Depois que o log for ativado, reproduza o problema.
Captura
  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (UI) Executar, digite eventvwr e, em seguida, clique em OK.

IU Executar

  1. No Visualizador de Eventos, expanda Logs do Windows e clique em Sistema.

Registros e sistema do Windows

  1. Clique com o botão direito no log do sistema e selecione Filtrar Log Atual.

Filtrar registro atual

  1. Defina a origem como CSAgent.

Configurando a origem do evento como CSAgent

  1. Clique com o botão direito do mouse no log do sistema e selecione Salvar Arquivo de Log Filtrado Como.

Salvar arquivo de log filtrado como

  1. Alterar nome do arquivo para CrowdStrike_[WORKSTATIONNAME].evtx e, em seguida, clique em Salvar.

Alterando o nome do arquivo e salvando

Nota: A Dell Technologies recomenda especificar o [WORKSTATIONNAME] caso o problema esteja acontecendo em vários endpoints.
Desativar
  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (UI) Executar, digite regedit e, em seguida, pressione CTRL+SHIFT+ENTER para executar o Editor do Registro como administrador.

IU Executar

  1. Se a opção UAC (User Account Control, controle da conta de usuário) estiver ativada, clique em Yes. Caso contrário, avance para a etapa 5.

Prompt de controle da conta de usuário

  1. Acesse a página [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registro

  1. Pressione Delete, digite 0e, em seguida, clique em OK.

Editar valor binário

  1. Clique em File (Arquivo) e, depois, em Exit (Sair).

Como sair do registro

Um usuário pode solucionar problemas do sensor CrowdStrike Falcon no Mac coletando:

  • Registros de instalação: Usado para solucionar problemas de instalação.
  • Registros do produto: Usado para solucionar problemas de ativação, comunicação e comportamento.

Clique no tipo apropriado de log para obter mais informações.

Instalação

O sensor CrowdStrike Falcon usa o install.log nativo para documentar as informações de instalação.

  1. No menu Apple, clique em Go (Ir) e, em seguida, selecione Go to Folder (Ir para pasta).

Vá para a pasta

  1. Digite /var/log e, em seguida, clique em Go.

Vá para a interface do usuário da pasta

  1. Copiar Install.log para um local prontamente disponível para investigação mais detalhada.

install.log

Nota: A Dell Technologies recomenda pesquisar por "CrowdStrike" para garantir que as informações são relevantes para a CrowdStrike.

Produto

É recomendável habilitar o detalhamento e, em seguida, reproduzir o problema antes da captura dos registros do produto. Depois que o problema for resolvido, é recomendável desativar o detalhamento. Clique no processo adequado para obter mais informações.

Ativar
Advertência:
  • A Dell Technologies recomenda habilitar o detalhamento somente ao solucionar um problema.
  • A Dell Technologies recomenda desativar o detalhamento depois que o problema for resolvido.
  • Os endpoints podem sofrer degradação do desempenho enquanto o detalhamento é ativado.
  1. Faça login no endpoint afetado.
  2. No menu Apple, clique em Go e, em seguida, selecione Utilities.

Utilitários

  1. Clique duas vezes em Terminal.

Terminal

  1. Em Terminal, digite sudo sysctl cs.feature=3 e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Confirm cs.feature=3.

Interface do usuário do terminal

Nota: Depois que o log for ativado, reproduza o problema.
Captura
  1. Faça log-in no endpoint afetado.
  2. No menu Apple, clique em Go e, em seguida, selecione Utilities.

Utilitários

  1. Clique duas vezes em Terminal.

Terminal

  1. Em Terminal, digite sudo /Library/CS/falconctl diagnose e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Após alguns minutos, falconctl_diagnose.tgz serão gerados em /private/tmp.
Desativar
  1. Faça login no endpoint afetado.
  2. No menu Apple, clique em Go e, em seguida, selecione Utilities.

Utilitários

  1. Clique duas vezes em Terminal.

Terminal

  1. Em Terminal, digite sudo sysctl cs.feature=0 e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Confirm cs.feature=0.

Interface do usuário do terminal

  1. Faça login no endpoint afetado.
  2. Abra o Terminal do Linux.

Terminal

Nota: O layout da IU (interface do usuário) pode ser diferente entre as distribuições Linux.
  1. Em Terminal, digite su root e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Digite sudo mkdir /tmp/CrowdStrike e pressione Enter.

Diretório de tomada de terminal

Nota: O exemplo /tmp/CrowdStrike O diretório pode ser modificado em seu ambiente.
  1. Digite sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt e pressione Enter.
  2. Digite sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt e pressione Enter.
  3. Digite sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt e pressione Enter.
  4. Digite sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt e pressione Enter.

Interface do usuário do terminal

Nota: As distribuições Linux podem não ter todos os diretórios listados.
  1. Capturar todos os arquivos de saída no /tmp/CrowdStrike (Etapa 5) usando SSH.

Resultado da captura de terminal

Nota:
  • Por padrão, o SSH é desativado nas distribuições do Linux.
  • Assim que o SSH for ativado, um software de terceiro (como o PuTTY) poderá ser usado para a conexão ao endpoint Linux.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

その他の情報

 

ビデオ

 

文書のプロパティ

影響を受ける製品

CrowdStrike

最後に公開された日付

01 2月 2024

バージョン

17

文書の種類

Solution

トップに戻る