跳转至主要内容
退出

欢迎访问戴尔

我的帐户
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表
  • 使用“Company Administration”(公司管理),管理Dell EMC站点、产品和产品级联系人。
登录 创建帐户 登录Premier 合作伙伴计划登录
联系我们

您的 Dell.com 购物车

文章编号: 000178209

Slik henter du inn logger for CrowdStrike Falcon Sensor

摘要: Finn ut hvordan du samler inn CrowdStrike Falcon Sensor-logger for feilsøking. Trinnvise veiledninger er tilgjengelige for Windows, Mac og Linux.

本文可能已自动翻译。如果您对其质量有任何反馈,请使用此页面底部的表单告知我们。

文章内容

症状

Denne artikkelen drøfter metodene for å samle inn logger for CrowdStrike Falcon Sensor.

Berørte produkter:

  • CrowdStrike Falcon Sensor

Berørte operativsystemer:

  • Windows
  • Mac
  • Linux

原因

Ikke aktuelt

解决方案

Det anbefales på det sterkeste å samle inn logger før du feilsøker CrowdStrike Falcon Sensor eller kontakter Dells kundestøtte.

Merk: Hvis du vil ha mer informasjon om hvordan du kontakter Dell Support, kan du se Dell Data Security International Support Phone Numbers.

Klikk på Windows, Mac eller Linux for relevant loggingsinformasjon.

En bruker kan feilsøke CrowdStrike Falcon Sensor på Windows ved å samle inn logger manuelt for:

  • MSI-logger : Brukes til å feilsøke installasjonsproblemer.
  • Produktlogger : Brukes til å feilsøke problemer med aktivering, kommunikasjon og virkemåte.

Klikk på den aktuelle loggtypen for å få mer informasjon.

MSI

  1. Logg på det berørte endepunktet.
  2. Høyreklikk på Windows-startmenyen, og velg Kjør.

Kjør

  1. I Run user interface (UI) skriver du inn enten:
    • Hvis installert av brukeren: %LOCALAPPDATA%\Temp , og klikk deretter OK.
    • Hvis installert av automatisk oppdatering: %SYSTEMROOT%\Temp , og klikk deretter OK.

Kjør-brukergrensesnittet

  1. Samle inn:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Bildet viser eksempelloggfiler.

Merk:
  • [TIMESTAMP] = Dato og klokkeslett for installasjonen
  • [BIT] = Representerer enten Agent32 eller Agent64

Produkt

Det anbefales å aktivere detaljrikdom og deretter reprodusere problemet før innhenting av produktlogger. Når problemet er løst, anbefales det å deaktivere utførlighet. Klikk på den aktuelle prosessen for å få mer informasjon.

Aktivere
Advarsel:
  • Dell Technologies anbefaler at du bare aktiverer utførlighet når du feilsøker et problem.
  • Dell Technologies anbefaler at du deaktiverer utførlighet etter at problemet er løst.
  • Endepunktenes ytelse kan være svakere når høyt detaljnivå er aktivert.
  1. Logg på det berørte endepunktet.
  2. Høyreklikk på Windows-startmenyen, og velg Kjør.

Kjør

  1. I Run user interface (UI) skriver du inn regedit og trykk deretter CTRL + SHIFT + ENTER for å kjøre Registerredigering som administrator.

Kjør-brukergrensesnittet

  1. Hvis Brukerkontokontroll (UAC) er aktivert, klikker du på Ja. Hvis ikke, går du til trinn 5.

Ledetekst for brukerkontokontroll

  1. Gå til [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registret

  1. Dobbeltklikk AFLAGS.

AFLAGS i registret

  1. Trykk DEL, skriv 03, og klikk deretter OK.

Skjermbildet Rediger binær verdi

  1. Klikk på Fil og deretter på Avslutt.

Avslutter Registerredigering

Merk: Når logging er aktivert, gjenskaper du problemet.
Registrere
  1. Logg på det berørte endepunktet.
  2. Høyreklikk på Windows-startmenyen, og velg Kjør.

Kjør

  1. I Run user interface (UI) skriver du inn eventvwr , og klikk deretter OK.

Kjør-brukergrensesnittet

  1. Utvid Windows-logger i hendelseslisten , og klikk deretter System.

Windows-logger og system

  1. Høyreklikk systemloggen, og velg deretter Filtrer gjeldende logg.

Filtrer gjeldende logg

  1. Sett kilden til CSAgent.

Angi hendelseskilde til CSAgent

  1. Høyreklikk systemloggen, og velg deretter Lagre filtrert loggfil som.

Lagre filtrert loggfil som

  1. Endre filnavn til CrowdStrike_[WORKSTATIONNAME].evtx , og klikk deretter Lagre.

Endre filnavn og lagre

Merk: Dell Technologies anbefaler at du spesifiserer [WORKSTATIONNAME] i tilfelle problemet oppstår på flere endepunkter.
Deaktivere
  1. Logg på det berørte endepunktet.
  2. Høyreklikk på Windows-startmenyen, og velg Kjør.

Kjør

  1. I Run user interface (UI) skriver du inn regedit og trykk deretter CTRL + SHIFT + ENTER for å kjøre Registerredigering som administrator.

Kjør-brukergrensesnittet

  1. Hvis Brukerkontokontroll (UAC) er aktivert, klikker du på Ja. Hvis ikke, går du til trinn 5.

Ledetekst for brukerkontokontroll

  1. Gå til [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registret

  1. Trykk DEL, skriv 0, og klikk deretter OK.

Rediger binær verdi

  1. Klikk på Fil og deretter på Avslutt.

Avslutte registeret

En bruker kan feilsøke CrowdStrike Falcon Sensor på Mac ved å samle inn:

  • Installasjonslogger : Brukes til å feilsøke installasjonsproblemer.
  • Produktlogger : Brukes til å feilsøke problemer med aktivering, kommunikasjon og virkemåte.

Klikk på den aktuelle loggtypen hvis du vil ha mer informasjon.

Installering

CrowdStrike Falcon Sensor bruker den innebygde install.log til å dokumentere installeringsinformasjon.

  1. I Apple-menyen klikker du på Go (Gå) og velger deretter Go to folder (Gå til mappe).

Gå til mappe

  1. Skriv inn /var/log , og klikk deretter til.

Gå til mappegrensesnittet

  1. Kopier Install.log til et lett tilgjengelig sted for videre undersøkelser.

install.log

Merk: Dell Technologies anbefaler at du søker etter "CrowdStrike" for å sikre at informasjonen er relevant for CrowdStrike.

Produkt

Det anbefales å aktivere detaljrikdom og deretter reprodusere problemet før innhenting av produktlogger. Når problemet er løst, anbefales det å deaktivere utførlighet. Klikk på den aktuelle prosessen for å få mer informasjon.

Aktivere
Advarsel:
  • Dell Technologies anbefaler at du bare aktiverer utførlighet når du feilsøker et problem.
  • Dell Technologies anbefaler at du deaktiverer utførlighet etter at problemet er løst.
  • Endepunktenes ytelse kan være svakere når høyt detaljnivå er aktivert.
  1. Logg inn på det berørte endepunktet.
  2. I Apple-menyen klikker du på Go (Gå) og velger Utilities (Verktøy).

Verktøy

  1. Dobbeltklikk på Terminal.

Terminal

  1. I Terminal skriver du inn sudo sysctl cs.feature=3 , og trykk deretter Enter.
  2. Fyll ut passordet for sudo, og trykk deretter ENTER.

Terminal som fyller ut sudo-passord

  1. Bekrefte cs.feature=3.

Terminalgrensesnitt

Merk: Når logging er aktivert, gjenskaper du problemet.
Registrere
  1. Logg på det berørte endepunktet.
  2. I Apple-menyen klikker du på Go (Gå) og velger Utilities (Verktøy).

Verktøy

  1. Dobbeltklikk på Terminal.

Terminal

  1. I Terminal skriver du inn sudo /Library/CS/falconctl diagnose , og trykk deretter Enter.
  2. Fyll ut passordet for sudo, og trykk deretter ENTER.

Terminal som fyller ut sudo-passordet

  1. Etter flere minutter, falconctl_diagnose.tgz vil bli generert i /private/tmp.
Deaktivere
  1. Logg inn på det berørte endepunktet.
  2. I Apple-menyen klikker du på Go (Gå) og velger Utilities (Verktøy).

Verktøy

  1. Dobbeltklikk på Terminal.

Terminal

  1. I Terminal skriver du inn sudo sysctl cs.feature=0 , og trykk deretter Enter.
  2. Fyll ut passordet for sudo, og trykk deretter ENTER.

Terminal som fyller ut sudo-passordet

  1. Bekrefte cs.feature=0.

Terminalgrensesnitt

  1. Logg inn på det berørte endepunktet.
  2. Åpne Terminal i Linux.

Terminal

Merk: Oppsettet for brukergrensesnittet (UI) kan avvike mellom Linux-distribusjonene.
  1. I Terminal skriver du inn su root , og trykk deretter Enter.
  2. Fyll ut passordet for sudo, og trykk deretter ENTER.

Terminal som fyller ut sudo-passord

  1. Skriv inn sudo mkdir /tmp/CrowdStrike , og trykk deretter Enter.

Terminal lage katalog

Merk: Eksemplet /tmp/CrowdStrike Katalogen kan endres i miljøet ditt.
  1. Skriv inn sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt , og trykk deretter Enter.
  2. Skriv inn sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt , og trykk deretter Enter.
  3. Skriv inn sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt , og trykk deretter Enter.
  4. Skriv inn sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt , og trykk deretter Enter.

Terminalgrensesnitt

Merk: Linux-distribusjoner har kanskje ikke alle oppførte kataloger.
  1. Ta opp alle utdatafiler innen /tmp/CrowdStrike (Trinn 5) ved hjelp av SSH.

Terminal fanger utdata

Merk:
  • SSH er som standard deaktivert på Linux-distribusjoner.
  • Når SSH er aktivert, kan tredjepartsprogramvare (for eksempel PuTTY) brukes til å koble til Linux-endepunktet.

Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.

其他信息

 

视频

 

文章属性

受影响的产品

CrowdStrike

上次发布日期

01 2月 2024

版本

17

文章类型

Solution

返回页首