文章编号: 000178209
CrowdStrike Falcon Sensor -lokien kerääminen
摘要: Opi keräämään CrowdStrike Falcon Sensor -lokit vianmääritystä varten. Vaiheittaiset oppaat ovat saatavilla Windowsille, Macille ja Linuxille.
文章内容
症状
Tässä artikkelissa käsitellään CrowdStrike Falcon -anturin lokien keräämismenetelmiä.
Tuotteet, joita asia koskee:
- CrowdStrike Falcon Sensor
Käyttöjärjestelmät, joita asia koskee:
- Windows
- Mac
- Linux
原因
-
解决方案
On erittäin suositeltavaa kerätä lokit ennen CrowdStrike Falcon -anturin vianmääritystä tai yhteyden ottamista Dellin tukeen.
Huomautus: Lisätietoja yhteyden ottamisesta Dell-tukeen on kohdassa Dell Data Securityn kansainväliset tukipuhelinnumerot.
Katso tarvittavat lokitiedot valitsemalla Windows, Mac tai Linux .
Käyttäjä voi tehdä vianmäärityksen CrowdStrike Falcon Sensor Windowsissa keräämällä manuaalisesti lokit:
- MSI-lokit : Käytetään asennusongelmien vianmääritykseen.
- Tuotelokit : Käytetään aktivointi-, viestintä- ja toimintaongelmien vianmääritykseen.
Katso lisätietoja valitsemalla asianmukainen lokityyppi.
MSI
- Kirjaudu siihen päätepisteeseen, jota ongelma koskee.
- Napsauta Windowsin Käynnistä-valikkoa hiiren kakkospainikkeella ja valitse Suorita.
- Kirjoita Suorita-kenttään jompikumpi:
- Jos käyttäjän asentama:
%LOCALAPPDATA%\Tempja valitse sitten OK. - Jos automaattisen päivityksen asentama:
%SYSTEMROOT%\Tempja valitse sitten OK.
- Jos käyttäjän asentama:
- Kerää:
CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].logCrowdStrike Window Sensor_[TIMESTAMP].log
Huomautus:
[TIMESTAMP]= Asennuspäivämäärä &; -aika[BIT]= Edustaa joko Agent32:ta tai Agent64:ää
Tuote
On suositeltavaa ottaa monisanaisuus käyttöön ja toistaa ongelma ennen tuotelokien sieppausta. Kun ongelma on ratkaistu, suosittelemme poistamaan monisanaisuuden käytöstä . Katso lisätietoja valitsemalla asianmukainen prosessi.
Ota käyttöön
Varoitus:
- Dell Technologies suosittelee, että monisanaisuus otetaan käyttöön vain ongelman vianmäärityksessä.
- Dell Technologies suosittelee monisanaisuuden poistamista käytöstä, kun ongelma on ratkaistu.
- Päätepisteiden suorituskyky saattaa heiketä, kun monisanaisuus on käytössä.
- Kirjaudu siihen päätepisteeseen, jota ongelma koskee.
- Napsauta Windowsin Käynnistä-valikkoa hiiren kakkospainikkeella ja valitse Suorita.
- Kirjoita Suorita käyttöliittymä (UI) -kohtaan
regeditja paina sitten CTRL+VAIHTO+ENTER, jos haluat suorittaa rekisterieditorin järjestelmänvalvojana.
- Jos Käyttäjätilien valvonta on käytössä, valitse Kyllä. Siirry muutoin vaiheeseen 5.
- Mennä
[HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].
- Kaksoisnapsauta
AFLAGS.
- Paina Delete-näppäintä, kirjoita
03ja valitse sitten OK.
- Valitse Tiedosto ja Sulje.
Huomautus: kun lokiin kirjaaminen on käytössä, toista ongelma.
Capture
- Kirjaudu siihen päätepisteeseen, jota ongelma koskee.
- Napsauta Windowsin Käynnistä-valikkoa hiiren kakkospainikkeella ja valitse Suorita.
- Kirjoita Suorita käyttöliittymä (UI) -kohtaan
eventvwrja valitse sitten OK.
- Laajenna Tapahtumienvalvonnassa Windows-lokit ja valitse Järjestelmä.
- Napsauta hiiren kakkospainikkeella Järjestelmä-lokia ja valitse Suodata nykyinen loki.
- Valitse Source-kohdassa
CSAgent.
- Napsauta järjestelmälokia hiiren kakkospainikkeella ja valitse Tallenna suodatettu lokitiedosto nimellä.
- Vaihda tiedostonimeksi
CrowdStrike_[WORKSTATIONNAME].evtxja valitse sitten Save.
Huomautus: Dell Technologies suosittelee, että määritetään
[WORKSTATIONNAME] Jos ongelma ilmenee useissa päätepisteissä.
Poista käytöstä
- Kirjaudu siihen päätepisteeseen, jota ongelma koskee.
- Napsauta Windowsin Käynnistä-valikkoa hiiren kakkospainikkeella ja valitse Suorita.
- Kirjoita Suorita käyttöliittymä (UI) -kohtaan
regeditja paina sitten CTRL+VAIHTO+ENTER, jos haluat suorittaa rekisterieditorin järjestelmänvalvojana.
- Jos Käyttäjätilien valvonta on käytössä, valitse Kyllä. Siirry muutoin vaiheeseen 5.
- Siirry
[HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].
- Paina Delete-näppäintä, kirjoita
0ja valitse sitten OK.
- Valitse Tiedosto ja Sulje.
Käyttäjä voi suorittaa vianmäärityksen CrowdStrike Falcon Sensor Macissa keräämällä:
- Asennuslokit : Käytetään asennusongelmien vianmääritykseen.
- Tuotelokit : Käytetään aktivointi-, viestintä- ja toimintaongelmien vianmääritykseen.
Katso lisätietoja valitsemalla asianmukainen lokityyppi.
Asenna
CrowdStrike Falcon Sensor tallentaa asennustiedot alkuperäiseen install.log-tiedostoon.
- Valitse omenavalikosta Siirry ja Siirry kansioon.
- Kirjoita
/var/logja napsauta sitten Siirry.
- Kopioi
Install.loghelposti saatavilla olevaan paikkaan lisätutkimuksia varten.
Huomautus: Dell Technologies suosittelee hakua "CrowdStrike", jotta tiedot ovat varmasti olennaisia CrowdStriken kannalta.
Tuote
On suositeltavaa ottaa monisanaisuus käyttöön ja toistaa ongelma ennen tuotelokien sieppausta. Kun ongelma on ratkaistu, suosittelemme poistamaan monisanaisuuden käytöstä . Katso lisätietoja valitsemalla asianmukainen prosessi.
Ota käyttöön
Varoitus:
- Dell Technologies suosittelee, että monisanaisuus otetaan käyttöön vain ongelman vianmäärityksessä.
- Dell Technologies suosittelee monisanaisuuden poistamista käytöstä, kun ongelma on ratkaistu.
- Päätepisteiden suorituskyky saattaa heiketä, kun monisanaisuus on käytössä.
- Kirjaudu sisään päätepisteeseen.
- Valitse omenavalikosta Siirry ja Lisäohjelmat.
- Kaksoisnapsauta kohtaa Pääte.
- Kirjoita Päätteeseen
sudo sysctl cs.feature=3ja paina sitten Enter-näppäintä. - Kirjoita salasana kohteelle
sudoja paina sitten Enter-näppäintä.
- Vahvista
cs.feature=3.
Huomautus: kun lokiin kirjaaminen on käytössä, toista ongelma.
Capture
- Kirjaudu siihen päätepisteeseen, jota ongelma koskee.
- Valitse omenavalikosta Siirry ja Lisäohjelmat.
- Kaksoisnapsauta kohtaa Pääte.
- Kirjoita Päätteeseen
sudo /Library/CS/falconctl diagnoseja paina sitten Enter-näppäintä. - Kirjoita salasana kohteelle
sudoja paina sitten Enter-näppäintä.
- Useiden minuuttien kuluttua
falconctl_diagnose.tgzluodaan/private/tmp.
Poista käytöstä
- Kirjaudu sisään päätepisteeseen.
- Valitse omenavalikosta Siirry ja Lisäohjelmat.
- Kaksoisnapsauta kohtaa Pääte.
- Kirjoita Päätteeseen
sudo sysctl cs.feature=0ja paina sitten Enter-näppäintä. - Kirjoita salasana kohteelle
sudoja paina sitten Enter-näppäintä.
- Vahvista
cs.feature=0.
- Kirjaudu sisään päätepisteeseen.
- Avaa Linuxin pääte.
Huomautus: käyttöliittymän asettelu voi vaihdella Linux-jakelun mukaan.
- Kirjoita Päätteeseen
su rootja paina sitten Enter-näppäintä. - Kirjoita salasana kohteelle
sudoja paina sitten Enter-näppäintä.
- Kirjoita
sudo mkdir /tmp/CrowdStrikeja paina sitten Enter-näppäintä.
Huomautus: Esimerkki
/tmp/CrowdStrike Hakemistoa voidaan muokata ympäristössäsi.
- Kirjoita
sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txtja paina sitten Enter-näppäintä. - Kirjoita
sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txtja paina sitten Enter-näppäintä. - Kirjoita
sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txtja paina sitten Enter-näppäintä. - Kirjoita
sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txtja paina sitten Enter-näppäintä.
Huomautus: kaikkia hakemistoja ei välttämättä ole kaikissa Linux-jakeluissa.
- Kaappaa kaikki tulostetiedostot
/tmp/CrowdStrike(Vaihe 5) SSH: n avulla.
Huomautus:
- SSH on oletusarvoisesti poissa käytöstä Linux-jakeluissa.
- Kun SSH on otettu käyttöön, yhteys Linux-päätepisteeseen voidaan muodostaa kolmannen osapuolen ohjelmistolla (esimerkiksi PuTTY).
Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.
其他信息
视频
文章属性
受影响的产品
CrowdStrike
上次发布日期
01 2月 2024
版本
17
文章类型
Solution