メイン コンテンツに進む
ログアウト

Dellへようこそ

マイアカウント
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。
ログイン アカウントの新規作成 プレミアログイン パートナー プログラム サインイン
お問い合わせ

Dell.comカート

文書番号: 000178209

CrowdStrike Falcon Sensor Günlüklerini Toplama

概要: Sorun giderme için CrowdStrike Falcon Sensor günlüklerini nasıl alacağınızı öğrenin. Adım adım kılavuzlar Windows, Mac ve Linux için mevcuttur.

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容

現象

Bu makalede, CrowdStrike Falcon Sensor için günlük toplama yöntemleri açıklanmaktadır.

Etkilenen Ürünler:

  • CrowdStrike Falcon Sensor

Etkilenen İşletim Sistemleri:

  • Windows
  • Mac
  • Linux

原因

Geçerli değil

解決方法

CrowdStrike Falcon Sensor ile sorun gidermeden veya Dell destek ile iletişime geçmeden önce günlükleri toplamanız önemle tavsiye edilir.

Not: Dell Support ile iletişime geçme hakkında daha fazla bilgi için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.

İlgili günlük bilgileri için Windows, Mac veya Linux'a tıklayın.

Kullanıcı, şunlar için günlükleri manuel olarak toplayarak Windows'da CrowdStrike Falcon Sensor sorunlarını giderebilir:

  • MSI günlükleri: Yükleme sorunlarını gidermek için kullanılır.
  • Ürün günlükleri: Etkinleştirme, iletişim ve davranış sorunlarını gidermek için kullanılır.

Daha fazla bilgi için uygun günlüğe kayıt tipini seçin.

MSI

  1. Etkilenen uç noktada oturum açın.
  2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

Çalıştırma

  1. Çalıştır kullanıcı arayüzüne (UI) aşağıdakilerden birini yazın:
    • Kullanıcı tarafından yüklendiyse: %LOCALAPPDATA%\Temp ve ardından Tamam'ı tıklatın.
    • Otomatik güncelleştirme ile yüklendiyse: %SYSTEMROOT%\Temp ve ardından Tamam'ı tıklatın.

Çalıştır Kullanıcı Arayüzü

  1. Toplamak:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Görüntüde, örnek günlük dosyaları gösterilmektedir.

Not:
  • [TIMESTAMP] = Kurulum tarihi ve saati
  • [BIT] = Agent32 veya Agent64'ü temsil eder

Ürün

Ayrıntı düzeyinin etkinleştirilmesi ve ardından ürün günlüklerinin yakalanmasından önce sorunun yeniden oluşturulması önerilir. Sorun çözüldükten sonra ayrıntı düzeyini devre dışı bırakmanız önerilir. Daha fazla bilgi için uygun işleme tıklayın.

Etkinleştirme
Uyarı:
  • Dell Technologies, ayrıntı düzeyinin yalnızca bir sorunu giderirken etkinleştirilmesini önerir.
  • Dell Technologies, sorun çözüldükten sonra ayrıntı düzeyinin devre dışı bırakılmasını önerir.
  • Ayrıntı düzeyi etkinleştirildiğinde uç noktaların performansı azalabilir.
  1. Etkilenen uç noktada oturum açın.
  2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

Çalıştırma

  1. Run user interface (UI) alanına şunu yazın: regedit ve ardından Kayıt Defteri Düzenleyicisi'ni yönetici olarak çalıştırmak için CTRL+SHIFT+ENTER tuşlarına basın.

Çalıştır Kullanıcı Arayüzü

  1. Kullanıcı Hesabı Denetimi (UAC) etkinse Evet öğesine tıklayın. Aksi durumda 5. Adıma gidin.

Kullanıcı Hesabı Denetimi istemi

  1. Git [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Kayıt defteri

  1. Çift tıklatın AFLAGS.

Kayıt defterindeki AFLAG'ler

  1. Delete tuşuna basın, yazın 03tıklatın ve sonra Tamam'ı tıklatın.

İkili Değeri Düzenle ekran

  1. Önce Dosya öğesine, ardından Çıkış öğesine tıklayın.

Kayıt Defteri Düzenleyicisi'nden Çıkma

Not: Günlüğe kaydetme etkinleştirildikten sonra sorunun yeniden oluşmasını sağlayın.
Kaydetme
  1. Etkilenen uç noktada oturum açın.
  2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

Çalıştırma

  1. Run user interface (UI) alanına şunu yazın: eventvwr ve ardından Tamam'ı tıklatın.

Çalıştır Kullanıcı Arayüzü

  1. Olay Görüntüleyicisi'nde Windows Günlükleri'ni genişletin ve Sistem öğesine tıklayın.

Windows Günlükleri ve Sistemi

  1. Sistem günlüğüne sağ tıklayın ve Geçerli Günlüğü Filtrele öğesini seçin.

Geçerli Günlüğü Filtrele

  1. Kaynağı şu şekilde ayarlayın: CSAgent.

Olay Kaynağını CSAgent olarak Ayarlama

  1. Sistem günlüğüne sağ tıklayın ve Save Filtered Log File As (Filtre Uygulanmış Günlük Dosyasını Farklı Kaydet) öğesini seçin.

Filtrelenmiş Günlük Dosyasını Farklı Kaydet

  1. Dosya Adını şu şekilde değiştirin: CrowdStrike_[WORKSTATIONNAME].evtx ve ardından Save öğesine tıklayın.

Dosya adını değiştirme ve kaydetme

Not: Dell Technologies şunları belirtmenizi önerir: [WORKSTATIONNAME] Sorunun birden fazla uç noktada gerçekleşmesi durumunda.
Devre Dışı Bırakma
  1. Etkilenen uç noktada oturum açın.
  2. Windows başlangıç menüsüne sağ tıklayın ve Çalıştır öğesine tıklayın.

Çalıştırma

  1. Run user interface (UI) alanına şunu yazın: regedit ve ardından Kayıt Defteri Düzenleyicisi'ni yönetici olarak çalıştırmak için CTRL+SHIFT+ENTER tuşlarına basın.

Çalıştır Kullanıcı Arayüzü

  1. Kullanıcı Hesabı Denetimi (UAC) etkinse Evet öğesine tıklayın. Aksi durumda 5. Adıma gidin.

Kullanıcı Hesabı Denetimi istemi

  1. Şu adrese gidin: [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Kayıt defteri

  1. Delete tuşuna basın, yazın 0tıklatın ve sonra Tamam'ı tıklatın.

İkili Değeri Düzenle

  1. Önce Dosya öğesine, ardından Çıkış öğesine tıklayın.

Kayıt defterinden çıkma

Kullanıcı, aşağıdakileri toplayarak Mac'te CrowdStrike Falcon Sensor sorunlarını giderebilir:

  • Yükleme günlükleri: Yükleme sorunlarını gidermek için kullanılır.
  • Ürün günlükleri: Etkinleştirme, iletişim ve davranış sorunlarını gidermek için kullanılır.

Daha fazla bilgi için uygun günlük tipini seçin.

Yükle

CrowdStrike Falcon Sensor, yerel install.log dosyasına kurulum bilgilerini kaydeder.

  1. Apple menüsünden, Git'e tıklayın ve Klasöre Git öğesini seçin.

Klasöre Gidin

  1. Şunu yazın: /var/log ve ardından Git'e tıklayın.

Klasör Kullanıcı Arayüzüne gidin

  1. Kopyalar Install.log daha fazla araştırma için hazır bir yere.

install.log

Not: Dell Technologies, bilgilerin CrowdStrike ile ilgili olduğundan emin olmak için "CrowdStrike" öğesinin aranmasını önerir.

Ürün

Ayrıntı düzeyinin etkinleştirilmesi ve ardından ürün günlüklerinin yakalanmasından önce sorunun yeniden oluşturulması önerilir. Sorun çözüldükten sonra ayrıntı düzeyini devre dışı bırakmanız önerilir. Daha fazla bilgi için uygun işleme tıklayın.

Etkinleştirme
Uyarı:
  • Dell Technologies, ayrıntı düzeyinin yalnızca bir sorunu giderirken etkinleştirilmesini önerir.
  • Dell Technologies, sorun çözüldükten sonra ayrıntı düzeyinin devre dışı bırakılmasını önerir.
  • Ayrıntı düzeyi etkinleştirildiğinde uç noktaların performansı azalabilir.
  1. Etkilenen uç noktada oturum açın.
  2. Apple menüsünde Git öğesine tıklayın ve İzlenceler öğesini seçin.

Utilities (İzlenceler)

  1. Terminal'e çift tıklayın.

Terminal

  1. Terminal'e şunu yazın: sudo sysctl cs.feature=3 ve Enter tuşuna basın.
  2. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

Terminal sudo parolasını dolduruyor

  1. Confirm (Onayla) cs.feature=3.

Terminal Kullanıcı Arayüzü

Not: Günlüğe kaydetme etkinleştirildikten sonra sorunun yeniden oluşmasını sağlayın.
Kaydetme
  1. Etkilenen uç noktada oturum açın.
  2. Apple menüsünde Git öğesine tıklayın ve İzlenceler öğesini seçin.

Utilities (İzlenceler)

  1. Terminal'e çift tıklayın.

Terminal

  1. Terminal'e şunu yazın: sudo /Library/CS/falconctl diagnose ve Enter tuşuna basın.
  2. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

Sudo parolasını giren terminal

  1. Birkaç dakika sonra, falconctl_diagnose.tgz Şurada oluşturulacaktır: /private/tmp.
Devre Dışı Bırakma
  1. Etkilenen uç noktada oturum açın.
  2. Apple menüsünde Git öğesine tıklayın ve İzlenceler öğesini seçin.

Utilities (İzlenceler)

  1. Terminal'e çift tıklayın.

Terminal

  1. Terminal'e şunu yazın: sudo sysctl cs.feature=0 ve Enter tuşuna basın.
  2. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

Sudo parolasını giren terminal

  1. Confirm (Onayla) cs.feature=0.

Terminal Kullanıcı Arayüzü

  1. Etkilenen uç noktada oturum açın.
  2. Linux Terminali açın.

Terminal

Not: Kullanıcı arabirimi (UI) düzeni Linux dağıtımları arasında farklılık gösterebilir.
  1. Terminal'e şunu yazın: su root ve Enter tuşuna basın.
  2. Şunun için parolayı doldurun: sudotıklatın ve Enter tuşuna basın.

Terminal sudo parolasını dolduruyor

  1. Şunu yazın: sudo mkdir /tmp/CrowdStrike ve Enter tuşuna basın.

Terminal oluşturma dizini

Not: Örnek /tmp/CrowdStrike dizini ortamınızda değiştirilebilir.
  1. Şunu yazın: sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt ve Enter tuşuna basın.
  2. Şunu yazın: sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt ve Enter tuşuna basın.
  3. Şunu yazın: sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt ve Enter tuşuna basın.
  4. Şunu yazın: sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt ve Enter tuşuna basın.

Terminal Kullanıcı Arayüzü

Not: Linux dağıtımları, listelenen dizinlerin tümünü içermeyebilir.
  1. İçindeki tüm çıktı dosyalarını yakalayın /tmp/CrowdStrike (Adım 5) SSH kullanarak.

Terminal yakalama çıktısı

Not:
  • SSH, Linux dağıtımlarında varsayılan olarak devre dışı bırakılmıştır.
  • SSH etkinleştirildiğinde, Linux uç noktasına bağlanmak için üçüncü parti yazılımı (ör. PuTTY) kullanılabilir.

Destek ile iletişime geçmek için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.
Çevrimiçi olarak teknik destek talebi oluşturmak için TechDirect adresine gidin.
Daha fazla faydalı bilgi ve kaynak için Dell Security Topluluk Forumu'na katılın.

その他の情報

 

ビデオ

 

文書のプロパティ

影響を受ける製品

CrowdStrike

最後に公開された日付

01 2月 2024

バージョン

17

文書の種類

Solution

トップに戻る