Як збирати журнали датчиків CrowdStrike Falcon

Користувач може усунути неполадки CrowdStrike Falcon Sensor у Windows, вручну зібравши журнали для:

• Журнали MSI : Використовується для усунення проблем зі встановленням.
• Журнали продукції : Використовується для усунення проблем з активацією, зв'язком і поведінкою.

Виберіть відповідний тип журналу, щоб дізнатися більше.

MSI

1. Увійдіть до відповідної кінцевої точки.
2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

3. У полі Виконати інтерфейс користувача (UI) введіть одну з таких команд:
   • Якщо встановлено користувачем: %LOCALAPPDATA%\Temp і натисніть кнопку ОК.
   • Якщо встановлено за допомогою автоматичного оновлення: %SYSTEMROOT%\Temp і натисніть кнопку ОК.

4. Зберіть:
   • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
   • CrowdStrike Window Sensor_[TIMESTAMP].log

Продукт

Рекомендується Увімкнути детальність, а потім відтворити проблему перед записом журналів продуктів . Після того, як проблему буде вирішено, рекомендується вимкнути детальність. Натисніть відповідну процедуру, щоб дізнатися більше.

Вмикати

1. Увійдіть до відповідної кінцевої точки.
2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

3. У полі Запустити інтерфейс користувача (UI) введіть regedit і натисніть сполучення клавіш CTRL+SHIFT+ENTER, щоб запустити редактор реєстру від імені адміністратора.

4. Якщо службу захисту користувачів (UAC) увімкнуто, натисніть кнопку Так. В іншому випадку перейдіть до кроку 5.

5. Іти до [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

6. Подвійне клацання AFLAGS.

7. Натисніть Delete, введіть 03, а потім натисніть кнопку ОК.

8. Натисніть кнопку Файл, а потім виберіть Вийти.

Захоплення

1. Увійдіть до відповідної кінцевої точки.
2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

3. У полі Запустити інтерфейс користувача (UI) введіть eventvwr і натисніть кнопку ОК.

4. У вікні «Перегляд подій» розгорніть розділ «Журнали Windows » і виберіть пункт «Система».

5. Клацніть правою кнопкою миші системний журнал і виберіть команду Фільтрувати поточний журнал.

6. Встановіть для параметра Джерело значення CSAgent.

7. Клацніть правою кнопкою миші системний журнал і виберіть пункт Зберегти відфільтрований файл журналу як.

8. Змініть ім'я файлу на CrowdStrike_[WORKSTATIONNAME].evtx , а потім натисніть кнопку Зберегти.

Вимкнути

1. Увійдіть до відповідної кінцевої точки.
2. Клацніть правою кнопкою миші меню «Пуск» Windows, а потім виберіть «Виконати».

3. У полі Запустити інтерфейс користувача (UI) введіть regedit і натисніть сполучення клавіш CTRL+SHIFT+ENTER, щоб запустити редактор реєстру від імені адміністратора.

4. Якщо службу захисту користувачів (UAC) увімкнуто, натисніть кнопку Так. В іншому випадку перейдіть до кроку 5.

5. Іти до [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

6. Натисніть Delete, введіть 0, а потім натисніть кнопку ОК.

7. Натисніть кнопку Файл, а потім виберіть Вийти.

Користувач може усунути неполадки CrowdStrike Falcon Sensor на Mac, зібравши:

• Журнали встановлення : Використовується для усунення проблем зі встановленням.
• Журнали продукції : Використовується для усунення проблем з активацією, зв'язком і поведінкою.

Клацніть відповідний тип журналу, щоб отримати додаткові відомості.

Інсталювати

CrowdStrike Falcon Sensor використовує вбудовану інсталяцію.log для документування інформації про встановлення.

1. У меню Apple натисніть «Перейти», а потім виберіть «Перейти до папки».

2. Тип /var/log , а потім натисніть кнопку Перейти.

3. Копіювати Install.log до легкодоступного місця для подальшого дослідження.

Продукт

Рекомендується Увімкнути детальність, а потім відтворити проблему перед записом журналів продуктів . Після того, як проблему буде вирішено, рекомендується вимкнути детальність. Натисніть відповідну процедуру, щоб дізнатися більше.

Вмикати

1. Увійдіть до відповідної кінцевої точки.
2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

3. Двічі клацніть пункт Термінал.

4. У Терміналі введіть sudo sysctl cs.feature=3 , а потім натисніть клавішу Enter.
5. Введіть пароль для sudo, а потім натисніть клавішу Enter.

6. Підтвердити cs.feature=3.

Захоплення

1. Увійдіть до відповідної кінцевої точки.
2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

3. Двічі клацніть пункт Термінал.

4. У Терміналі введіть sudo /Library/CS/falconctl diagnose , а потім натисніть клавішу Enter.
5. Введіть пароль для sudo, а потім натисніть клавішу Enter.

6. Через кілька хвилин, falconctl_diagnose.tgz буде згенеровано в /private/tmp.

Вимкнути

1. Увійдіть до відповідної кінцевої точки.
2. У меню Apple натисніть « Перейти », а потім виберіть «Утиліти».

3. Двічі клацніть пункт Термінал.

4. У Терміналі введіть sudo sysctl cs.feature=0 , а потім натисніть клавішу Enter.
5. Введіть пароль для sudo, а потім натисніть клавішу Enter.

6. Підтвердити cs.feature=0.

1. Увійдіть до відповідної кінцевої точки.
2. Відкрийте термінал Linux.

3. У Терміналі введіть su root , а потім натисніть клавішу Enter.
4. Введіть пароль для sudo, а потім натисніть клавішу Enter.

5. Тип sudo mkdir /tmp/CrowdStrike , а потім натисніть клавішу Enter.

6. Тип sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt , а потім натисніть клавішу Enter.
7. Тип sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt , а потім натисніть клавішу Enter.
8. Тип sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt , а потім натисніть клавішу Enter.
9. Тип sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt , а потім натисніть клавішу Enter.

10. Захоплюйте всі вихідні файли всередині /tmp/CrowdStrike (Крок 5) за допомогою SSH.