跳转至主要内容
退出

欢迎访问戴尔

我的帐户
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表
  • 使用“Company Administration”(公司管理),管理Dell EMC站点、产品和产品级联系人。
登录 创建帐户 登录Premier 合作伙伴计划登录
联系我们

您的 Dell.com 购物车

文章编号: 000178209

Jak zbierać dzienniki narzędzia CrowdStrike Falcon Sensor

摘要: Dowiedz się, jak zbierać dzienniki narzędzia CrowdStrike Falcon Sensor w celu rozwiązywania problemów. Przewodniki krok po kroku są dostępne dla systemów Windows, Mac i Linux.

本文可能已自动翻译。如果您对其质量有任何反馈,请使用此页面底部的表单告知我们。

文章内容

症状

W tym artykule opisano metody gromadzenia dzienników narzędzia CrowdStrike Falcon Sensor.

Dotyczy produktów:

  • Narzędzie CrowdStrike Falcon Sensor

Dotyczy systemów operacyjnych:

  • Windows
  • Mac
  • Linux

原因

Nie dotyczy

解决方案

Zaleca się gromadzenie dzienników przed rozpoczęciem rozwiązywania problemów z narzędziem CrowdStrike Falcon Sensor lub skontaktowaniem się z pomocą techniczną firmy Dell.

Uwaga: aby uzyskać więcej informacji na temat kontaktu z pomocą techniczną Dell Support, przejdź do sekcji Międzynarodowe numery telefonów pomocy technicznej dla produktów Dell Data Security.

Kliknij pozycję Windows, Mac lub Linux , aby uzyskać odpowiednie informacje o rejestrowaniu.

Użytkownik może rozwiązywać problemy z narzędziem CrowdStrike Falcon Sensor w systemie Windows, ręcznie zbierając dzienniki dla:

  • Dzienniki MSI: Używane do rozwiązywania problemów z instalacją.
  • Dzienniki produktu : Używane do rozwiązywania problemów z aktywacją, komunikacją i działaniem.

Aby uzyskać więcej informacji, kliknij odpowiedni typ dzienników.

MSI

  1. Zaloguj się do danego punktu końcowego.
  2. Prawym przyciskiem myszy kliknij menu Start systemu Windows, a następnie wybierz opcję Uruchom.

Uruchom

  1. W interfejsie użytkownika Uruchom wpisz albo:
    • W przypadku zainstalowania przez użytkownika: %LOCALAPPDATA%\Temp a następnie kliknij przycisk OK.
    • Jeśli zainstalowano przez automatyczną aktualizację: %SYSTEMROOT%\Temp a następnie kliknij przycisk OK.

Uruchom UI

  1. Zbierz:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Ilustracja przedstawia przykładowe pliki dziennika.

Uwaga:
  • [TIMESTAMP] = Data i godzina instalacji
  • [BIT] = Oznacza agent32 lub Agent64

Produkt

Zaleca się włączenie szczegółowości, a następnie odtworzenie problemu przed przechwyceniem dzienników produktu. Po rozwiązaniu problemu zaleca się wyłączenie szczegółowości. Kliknij odpowiedni proces, aby uzyskać więcej informacji.

Włączanie
Ostrzeżenie:
  • Firma Dell Technologies zaleca włączanie szczegółowości tylko w przypadku rozwiązywania problemu.
  • Firma Dell Technologies zaleca wyłączenie szczegółowości po rozwiązaniu problemu.
  • Gdy szczegółowość jest włączona, wydajność urządzeń końcowych może spadać.
  1. Zaloguj się do danego punktu końcowego.
  2. Prawym przyciskiem myszy kliknij menu Start systemu Windows, a następnie wybierz opcję Uruchom.

Uruchom

  1. W menu Uruchom interfejs użytkownika (UI) wpisz regedit a następnie naciśnij kombinację klawiszy CTRL + SHIFT + ENTER, aby uruchomić Edytor rejestru jako administrator.

Uruchom UI

  1. Jeśli włączona jest funkcja Kontrola konta użytkownika (UAC), kliknij przycisk Tak. W przeciwnym razie przejdź do kroku 5.

Monit kontroli konta użytkownika

  1. Przejdź do [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Rejestr

  1. Kliknij dwukrotnie AFLAGS.

AFLAGS w rejestrze

  1. Naciśnij przycisk Delete, wpisz 03, a następnie kliknij przycisk OK.

Ekran Edit Binary Value (Edytuj wartość binarną

  1. Kliknij opcję Plik, a następnie wybierz opcję Zakończ.

Zamykanie Edytora rejestru

Uwaga: gdy włączysz zbieranie dzienników, spróbuj odtworzyć problem.
Przechwytywanie
  1. Zaloguj się do danego punktu końcowego.
  2. Prawym przyciskiem myszy kliknij menu Start systemu Windows, a następnie wybierz opcję Uruchom.

Uruchom

  1. W menu Uruchom interfejs użytkownika (UI) wpisz eventvwr a następnie kliknij przycisk OK.

Uruchom UI

  1. W Podglądzie zdarzeń rozwiń pozycję Dzienniki systemu Windows, a następnie kliknij pozycję System.

Dzienniki systemu Windows i system

  1. Kliknij prawym przyciskiem myszy dziennik systemowy, a następnie wybierz opcję Filtruj bieżący dziennik.

Filtruj bieżący dziennik

  1. Ustaw źródło na CSAgent.

Ustawianie źródła zdarzenia na CSAgent

  1. Kliknij prawym przyciskiem myszy dziennik systemowy, a następnie wybierz opcję Zapisz odfiltrowany plik dziennika jako.

Zapisz filtrowany plik dziennika jako

  1. Zmień nazwę pliku na CrowdStrike_[WORKSTATIONNAME].evtx a następnie kliknij przycisk Zapisz.

Zmiana nazwy pliku i zapisanie

Uwaga: Firma Dell Technologies zaleca określenie [WORKSTATIONNAME] w przypadku, gdy problem występuje na wielu punktach końcowych.
Wyłącz
  1. Zaloguj się do danego punktu końcowego.
  2. Prawym przyciskiem myszy kliknij menu Start systemu Windows, a następnie wybierz opcję Uruchom.

Uruchom

  1. W menu Uruchom interfejs użytkownika (UI) wpisz regedit a następnie naciśnij kombinację klawiszy CTRL + SHIFT + ENTER, aby uruchomić Edytor rejestru jako administrator.

Uruchom UI

  1. Jeśli włączona jest funkcja Kontrola konta użytkownika (UAC), kliknij przycisk Tak. W przeciwnym razie przejdź do kroku 5.

Monit kontroli konta użytkownika

  1. Przejdź do [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Rejestr

  1. Naciśnij przycisk Delete, wpisz 0, a następnie kliknij przycisk OK.

Edytuj wartość binarną

  1. Kliknij opcję Plik, a następnie wybierz opcję Zakończ.

Zamykanie rejestru

Użytkownik może rozwiązywać problemy z narzędziem CrowdStrike Falcon Sensor na komputerze Mac, zbierając następujące elementy:

Aby uzyskać więcej informacji, kliknij odpowiedni typ dziennika.

Instalowanie

Narzędzie Falcon CrowdStrike Sensor do zbierania danych instalacyjnych wykorzystuje macierzysty plik install.log.

  1. W menu Apple kliknij pozycję Idź i wybierz opcję Idź do folderu.

Przejdź do folderu

  1. Wpisz /var/log a następnie kliknij przycisk Idź.

Przejdź do interfejsu użytkownika folderu

  1. Kopiowanie Install.log do łatwo dostępnej lokalizacji w celu dalszego zbadania.

install.log

Uwaga: Firma Dell Technologies zaleca wyszukanie "CrowdStrike", aby upewnić się, że informacje te są odpowiednie dla programu CrowdStrike.

Produkt

Zaleca się włączenie szczegółowości, a następnie odtworzenie problemu przed przechwyceniem dzienników produktu. Po rozwiązaniu problemu zaleca się wyłączenie szczegółowości. Kliknij odpowiedni proces, aby uzyskać więcej informacji.

Włączanie
Ostrzeżenie:
  • Firma Dell Technologies zaleca włączanie szczegółowości tylko w przypadku rozwiązywania problemu.
  • Firma Dell Technologies zaleca wyłączenie szczegółowości po rozwiązaniu problemu.
  • Gdy szczegółowość jest włączona, wydajność urządzeń końcowych może spadać.
  1. Zaloguj się do punktu końcowego, którego dotyczy problem.
  2. W menu Apple kliknij pozycję Idź i wybierz opcję Narzędzia.

Narzędzia

  1. Kliknij dwukrotnie ikonę Terminal.

Terminal

  1. W terminalu wpisz sudo sysctl cs.feature=3 i naciśnij klawisz Enter.
  2. Podaj hasło do sudo, a następnie naciśnij klawisz Enter.

Terminal wypełnia hasło sudo

  1. Zatwierdź cs.feature=3.

Interfejs użytkownika terminala

Uwaga: gdy włączysz zbieranie dzienników, spróbuj odtworzyć problem.
Przechwytywanie
  1. Zaloguj się do danego punktu końcowego.
  2. W menu Apple kliknij pozycję Idź i wybierz opcję Narzędzia.

Narzędzia

  1. Kliknij dwukrotnie ikonę Terminal.

Terminal

  1. W terminalu wpisz sudo /Library/CS/falconctl diagnose i naciśnij klawisz Enter.
  2. Podaj hasło do sudo, a następnie naciśnij klawisz Enter.

Terminal wypełnia hasło sudo

  1. Po kilku minutach falconctl_diagnose.tgz zostanie wygenerowany w /private/tmp.
Wyłącz
  1. Zaloguj się do punktu końcowego, którego dotyczy problem.
  2. W menu Apple kliknij pozycję Idź i wybierz opcję Narzędzia.

Narzędzia

  1. Kliknij dwukrotnie ikonę Terminal.

Terminal

  1. W terminalu wpisz sudo sysctl cs.feature=0 i naciśnij klawisz Enter.
  2. Podaj hasło do sudo, a następnie naciśnij klawisz Enter.

Terminal wypełnia hasło sudo

  1. Zatwierdź cs.feature=0.

Interfejs użytkownika terminala

  1. Zaloguj się do punktu końcowego, którego dotyczy problem.
  2. Otwórz Terminal systemu Linux.

Terminal

Uwaga: układ interfejsu użytkownika może różnić w zależności od dystrybucji systemu Linux.
  1. W terminalu wpisz su root i naciśnij klawisz Enter.
  2. Podaj hasło do sudo, a następnie naciśnij klawisz Enter.

Terminal wypełnia hasło sudo

  1. Wpisz sudo mkdir /tmp/CrowdStrike i naciśnij klawisz Enter.

Katalog tworzenia terminala

Uwaga: Przykład /tmp/CrowdStrike katalog można zmodyfikować w swoim środowisku.
  1. Wpisz sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt i naciśnij klawisz Enter.
  2. Wpisz sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt i naciśnij klawisz Enter.
  3. Wpisz sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt i naciśnij klawisz Enter.
  4. Wpisz sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt i naciśnij klawisz Enter.

Interfejs użytkownika terminala

Uwaga: nie wszystkie wymienione katalogi muszą być dostępne w poszczególnych dystrybucjach systemu Linux.
  1. Przechwyć wszystkie pliki wyjściowe w /tmp/CrowdStrike (Krok 5) przy użyciu SSH.

Terminal — przechwytywanie danych wyjściowych

Uwaga:
  • Domyślnie protokół SSH jest wyłączony w dystrybucjach Linuksa.
  • Po włączeniu protokołu SSH do łączenia się z urządzeniem końcowym z systemem Linux można używać oprogramowania (np. PuTTY) innych producentów.

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

其他信息

 

视频

 

文章属性

受影响的产品

CrowdStrike

上次发布日期

01 2月 2024

版本

17

文章类型

Solution

返回页首