メイン コンテンツに進む
ログアウト

Dellへようこそ

マイアカウント
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。
ログイン アカウントの新規作成 プレミアログイン パートナー プログラム サインイン
お問い合わせ

Dell.comカート

文書番号: 000178209

Samla in CrowdStrike Falcon Sensor-loggar

概要: Läs om hur du samlar in CrowdStrike Falcon-sensorloggar för felsökning. Steg-för-steg-guider finns för Windows, Mac och Linux.

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容

現象

I den här artikeln beskrivs metoderna för att samla in loggar för CrowdStrike Falcon-sensorn.

Berörda produkter:

  • CrowdStrike Falcon Sensor

Berörda operativsystem:

  • Windows
  • Mac
  • Linux

原因

Inte applicerbart

解決方法

Vi rekommenderar starkt att du samlar in loggar innan du felsöker CrowdStrike Falcon-sensorn eller kontaktar Dells support.

Obs! Mer information om hur du kontaktar Dells support finns på Telefonnummer till internationell support för Dell Data Security.

Klicka på Windows, Mac eller Linux om du vill ha relevant loggningsinformation.

En användare kan felsöka CrowdStrike Falcon-sensorn i Windows genom att manuellt samla in loggar för:

  • MSI-loggar : Används för att felsöka installationsproblem.
  • Produktloggar : Används för att felsöka aktiverings-, kommunikations- och beteendeproblem.

Klicka på loggtyperna nedan om du vill ha mer information om dem.

MSI

  1. Logga in på den berörda slutpunkten.
  2. Högerklicka på Windows startmeny och välj Kör.

Kör

  1. I Kör användargränssnitt (UI) skriver du antingen:
    • Om den installerats av användaren: %LOCALAPPDATA%\Temp och klicka sedan på OK.
    • Om det installeras genom automatisk uppdatering: %SYSTEMROOT%\Temp och klicka sedan på OK.

Körgränssnittt

  1. Samla in:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Bilden visar exempel på loggfiler.

Obs!
  • [TIMESTAMP] = Datum och tid för installationen
  • [BIT] = Representerar antingen Agent32 eller Agent64

Produkt

Vi rekommenderar att du aktiverar utförlighet och sedan återskapar problemet innan produktloggarna samlas in . När problemet är löst rekommenderar vi att du inaktiverar utförlighet. Klicka på avsnitten nedan för mer information.

Aktivera
Varning!
  • Dell Technologies rekommenderar att du endast aktiverar utförlighet när du felsöker ett problem.
  • Dell Technologies rekommenderar att du inaktiverar utförlighet när problemet har lösts.
  • Slutpunkter kan få lägre prestanda medan informationsläget är aktivt.
  1. Logga in på den berörda slutpunkten.
  2. Högerklicka på Windows startmeny och välj Kör.

Kör

  1. I Kör användargränssnitt (UI) skriver du regedit och tryck sedan på CTRL+SKIFT+RETUR för att köra Registereditorn som administratör.

Körgränssnittt

  1. Klicka på Ja om UAC (kontroll av användarkonto) är aktiverat. Annars går du till steg 5.

Uppmaning om kontroll av användarkonto

  1. Gå till [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registret

  1. Dubbelklicka AFLAGS.

AFLAGS i registret

  1. Tryck på Delete, skriv 03och klicka sedan på OK.

Skärmen Redigera binärt värde

  1. Klicka på Arkiv och välj sedan Avsluta.

Avslutar Registereditorn

Obs! När loggning har aktiverats återskapar du problemet.
Samla in
  1. Logga in på den berörda slutpunkten.
  2. Högerklicka på Windows startmeny och välj Kör.

Kör

  1. I Kör användargränssnitt (UI) skriver du eventvwr och klicka sedan på OK.

Körgränssnittt

  1. I Loggboken expanderar du Windows-loggar och klickar sedan på System.

Windows-loggar och -system

  1. Högerklicka på systemloggen och välj sedan Filtrera aktuell logg.

Filtrera aktuell logg

  1. Ställ in KällaCSAgent.

Ställa in händelsekälla till CSAgent

  1. Högerklicka på systemloggen och välj sedan Spara filtrerad loggfil som.

Spara filtrerad loggfil som

  1. Ändra filnamnet till CrowdStrike_[WORKSTATIONNAME].evtx och klicka sedan på Spara.

Ändra filnamn och spara

Obs! Dell Technologies rekommenderar att du specificerar [WORKSTATIONNAME] Om problemet uppstår på flera slutpunkter.
Avaktivera
  1. Logga in på den berörda slutpunkten.
  2. Högerklicka på Windows startmeny och välj Kör.

Kör

  1. I Kör användargränssnitt (UI) skriver du regedit och tryck sedan på CTRL+SKIFT+RETUR för att köra Registereditorn som administratör.

Körgränssnittt

  1. Klicka på Ja om UAC (kontroll av användarkonto) är aktiverat. Annars fortsätter du till steg 5.

Uppmaning om kontroll av användarkonto

  1. Gå till [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registret

  1. Tryck på Delete, skriv 0och klicka sedan på OK.

Redigera binärt värde

  1. Klicka på Arkiv och välj sedan Avsluta.

Avsluta registret

En användare kan felsöka CrowdStrike Falcon-sensorn på Mac genom att samla in:

  • Installera loggar: Används för att felsöka installationsproblem.
  • Produktloggar : Används för att felsöka aktiverings-, kommunikations- och beteendeproblem.

Klicka på lämplig loggtyp om du vill ha mer information.

Installera

CrowdStrike Falcon Sensor använder den interna install.log för att dokumentera installationsinformation.

  1. Klicka på Gå i Apple-menyn och välj sedan Gå till mappen.

Gå till mapp

  1. Typ /var/log och klicka sedan på .

Gå till mappgränssnitt

  1. Kopiera Install.log till en lättillgänglig plats för vidare undersökning.

install.log

Obs! Dell Technologies rekommenderar att du söker efter "CrowdStrike" för att säkerställa att informationen är relevant för CrowdStrike.

Produkt

Vi rekommenderar att du aktiverar utförlighet och sedan återskapar problemet innan produktloggarna samlas in . När problemet är löst rekommenderar vi att du inaktiverar utförlighet. Klicka på avsnitten nedan för mer information.

Aktivera
Varning!
  • Dell Technologies rekommenderar att du endast aktiverar utförlighet när du felsöker ett problem.
  • Dell Technologies rekommenderar att du inaktiverar utförlighet när problemet har lösts.
  • Slutpunkter kan få lägre prestanda medan informationsläget är aktivt.
  1. Logga in på den berörda slutpunkten.
  2. Klicka på i Apple-menyn och välj sedan Verktyg.

Verktyg

  1. Dubbelklicka på Terminal.

Terminal

  1. I Terminal skriver du sudo sysctl cs.feature=3 och tryck sedan på Enter.
  2. Ange lösenordet för sudooch tryck sedan på Retur.

Terminal som fyller i sudo-lösenord

  1. Bekräfta cs.feature=3.

Terminalgränssnitt

Obs! När loggning har aktiverats återskapar du problemet.
Samla in
  1. Logga in på den berörda slutpunkten.
  2. Klicka på i Apple-menyn och välj sedan Verktyg.

Verktyg

  1. Dubbelklicka på Terminal.

Terminal

  1. I Terminal skriver du sudo /Library/CS/falconctl diagnose och tryck sedan på Enter.
  2. Ange lösenordet för sudooch tryck sedan på Retur.

Terminal som fyller i sudo-lösenordet

  1. Efter flera minuter, falconctl_diagnose.tgz kommer att genereras i /private/tmp.
Avaktivera
  1. Logga in på den berörda slutpunkten.
  2. Klicka på i Apple-menyn och välj sedan Verktyg.

Verktyg

  1. Dubbelklicka på Terminal.

Terminal

  1. I Terminal skriver du sudo sysctl cs.feature=0 och tryck sedan på Enter.
  2. Ange lösenordet för sudooch tryck sedan på Retur.

Terminal som fyller i sudo-lösenordet

  1. Bekräfta cs.feature=0.

Terminalgränssnitt

  1. Logga in på den berörda slutpunkten.
  2. Öppna Linux Terminal.

Terminal

Obs! Användargränssnittets (UI) layout kan skilja sig åt mellan Linux-distributioner.
  1. I Terminal skriver du su root och tryck sedan på Enter.
  2. Ange lösenordet för sudooch tryck sedan på Retur.

Terminal som fyller i sudo-lösenord

  1. Typ sudo mkdir /tmp/CrowdStrike och tryck sedan på Enter.

Katalog för att skapa terminaler

Obs! Exemplet /tmp/CrowdStrike katalogen kan ändras i din miljö.
  1. Typ sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt och tryck sedan på Enter.
  2. Typ sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt och tryck sedan på Enter.
  3. Typ sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt och tryck sedan på Enter.
  4. Typ sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt och tryck sedan på Enter.

Terminalgränssnitt

Obs! Linux-distributioner kanske inte har alla kataloger i listan.
  1. Samla in alla utdatafiler i /tmp/CrowdStrike (Steg 5) med SSH.

Terminalinhämtningsutgång

Obs!
  • SSH avaktiveras som standard på Linux-distributioner.
  • När SSH har aktiverats kan programvara från tredje part (till exempel PuTTY) användas för att ansluta till Linux-slutpunkten.

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

その他の情報

 

ビデオ

 

文書のプロパティ

影響を受ける製品

CrowdStrike

最後に公開された日付

01 2月 2024

バージョン

17

文書の種類

Solution

トップに戻る