跳转至主要内容
退出

欢迎访问戴尔

我的帐户
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表
  • 使用“Company Administration”(公司管理),管理Dell EMC站点、产品和产品级联系人。
登录 创建帐户 登录Premier 合作伙伴计划登录
联系我们

您的 Dell.com 购物车

文章编号: 000178209

Como coletar logs do sensor CrowdStrike Falcon

摘要: Saiba como coletar registros do sensor CrowdStrike Falcon para solução de problemas. Guias passo a passo estão disponíveis para Windows, Mac e Linux.

本文可能已自动翻译。如果您对其质量有任何反馈,请使用此页面底部的表单告知我们。

文章内容

症状

Este artigo discute os métodos para coletar registros para o sensor CrowdStrike Falcon.

Produtos afetados:

  • Sensor CrowdStrike Falcon

Sistemas operacionais afetados:

  • Windows
  • Mac
  • Linux

原因

Não aplicável

解决方案

É altamente recomendável coletar registros antes de solucionar problemas do sensor CrowdStrike Falcon ou entrar em contato com o suporte da Dell.

Nota: Para obter mais informações sobre como entrar em contato com o Suporte Dell, consulte os Números de telefone do suporte internacional do Dell Data Security.

Clique em Windows, Mac ou Linux para obter informações relevantes de registro.

Um usuário pode solucionar problemas do sensor CrowdStrike Falcon no Windows coletando registros manualmente para:

  • Registros MSI : Usado para solucionar problemas de instalação.
  • Registros do produto: Usado para solucionar problemas de ativação, comunicação e comportamento.

Clique no tipo apropriado de log para obter mais informações.

MSI

  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (IU) Executar, digite:
    • Se a instalação tiver sido feita pelo usuário: %LOCALAPPDATA%\Temp e, em seguida, clique em OK.
    • Se a instalação tiver sido feita pela atualização automática: %SYSTEMROOT%\Temp e, em seguida, clique em OK.

IU Executar

  1. Colete:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

A imagem mostra exemplos de arquivos de log.

Nota:
  • [TIMESTAMP] = Data e hora da instalação
  • [BIT] = Representa o Agent32 ou o Agent64

Produto

É recomendável habilitar o detalhamento e, em seguida, reproduzir o problema antes da captura dos registros do produto. Depois que o problema for resolvido, é recomendável desativar o detalhamento. Clique no processo adequado para obter mais informações.

Ativar
Advertência:
  • A Dell Technologies recomenda habilitar o detalhamento somente ao solucionar um problema.
  • A Dell Technologies recomenda desativar o detalhamento depois que o problema for resolvido.
  • Os endpoints podem sofrer degradação do desempenho enquanto o detalhamento é ativado.
  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (UI) Executar, digite regedit e, em seguida, pressione CTRL+SHIFT+ENTER para executar o Editor do Registro como administrador.

IU Executar

  1. Se a opção UAC (User Account Control, controle da conta de usuário) estiver ativada, clique em Yes. Caso contrário, avance para a etapa 5.

Prompt de controle da conta de usuário

  1. Ir para [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registro

  1. Clique duas vezes AFLAGS.

AFLAGS no registro

  1. Pressione Delete, digite 03e, em seguida, clique em OK.

Editar tela Valor binário

  1. Clique em File (Arquivo) e, depois, em Exit (Sair).

Como sair do Editor do Registro

Nota: Depois que o log for ativado, reproduza o problema.
Captura
  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (UI) Executar, digite eventvwr e, em seguida, clique em OK.

IU Executar

  1. No Visualizador de Eventos, expanda Logs do Windows e clique em Sistema.

Registros e sistema do Windows

  1. Clique com o botão direito no log do sistema e selecione Filtrar Log Atual.

Filtrar registro atual

  1. Defina a origem como CSAgent.

Configurando a origem do evento como CSAgent

  1. Clique com o botão direito do mouse no log do sistema e selecione Salvar Arquivo de Log Filtrado Como.

Salvar arquivo de log filtrado como

  1. Alterar nome do arquivo para CrowdStrike_[WORKSTATIONNAME].evtx e, em seguida, clique em Salvar.

Alterando o nome do arquivo e salvando

Nota: A Dell Technologies recomenda especificar o [WORKSTATIONNAME] caso o problema esteja acontecendo em vários endpoints.
Desativar
  1. Faça log-in no endpoint afetado.
  2. Clique com o botão direito do mouse no menu Iniciar do Windows e selecione Executar.

Executar

  1. Na interface do usuário (UI) Executar, digite regedit e, em seguida, pressione CTRL+SHIFT+ENTER para executar o Editor do Registro como administrador.

IU Executar

  1. Se a opção UAC (User Account Control, controle da conta de usuário) estiver ativada, clique em Yes. Caso contrário, avance para a etapa 5.

Prompt de controle da conta de usuário

  1. Acesse a página [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Registro

  1. Pressione Delete, digite 0e, em seguida, clique em OK.

Editar valor binário

  1. Clique em File (Arquivo) e, depois, em Exit (Sair).

Como sair do registro

Um usuário pode solucionar problemas do sensor CrowdStrike Falcon no Mac coletando:

  • Registros de instalação: Usado para solucionar problemas de instalação.
  • Registros do produto: Usado para solucionar problemas de ativação, comunicação e comportamento.

Clique no tipo apropriado de log para obter mais informações.

Instalação

O sensor CrowdStrike Falcon usa o install.log nativo para documentar as informações de instalação.

  1. No menu Apple, clique em Go (Ir) e, em seguida, selecione Go to Folder (Ir para pasta).

Vá para a pasta

  1. Digite /var/log e, em seguida, clique em Go.

Vá para a interface do usuário da pasta

  1. Copiar Install.log para um local prontamente disponível para investigação mais detalhada.

install.log

Nota: A Dell Technologies recomenda pesquisar por "CrowdStrike" para garantir que as informações são relevantes para a CrowdStrike.

Produto

É recomendável habilitar o detalhamento e, em seguida, reproduzir o problema antes da captura dos registros do produto. Depois que o problema for resolvido, é recomendável desativar o detalhamento. Clique no processo adequado para obter mais informações.

Ativar
Advertência:
  • A Dell Technologies recomenda habilitar o detalhamento somente ao solucionar um problema.
  • A Dell Technologies recomenda desativar o detalhamento depois que o problema for resolvido.
  • Os endpoints podem sofrer degradação do desempenho enquanto o detalhamento é ativado.
  1. Faça login no endpoint afetado.
  2. No menu Apple, clique em Go e, em seguida, selecione Utilities.

Utilitários

  1. Clique duas vezes em Terminal.

Terminal

  1. Em Terminal, digite sudo sysctl cs.feature=3 e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Confirm cs.feature=3.

Interface do usuário do terminal

Nota: Depois que o log for ativado, reproduza o problema.
Captura
  1. Faça log-in no endpoint afetado.
  2. No menu Apple, clique em Go e, em seguida, selecione Utilities.

Utilitários

  1. Clique duas vezes em Terminal.

Terminal

  1. Em Terminal, digite sudo /Library/CS/falconctl diagnose e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Após alguns minutos, falconctl_diagnose.tgz serão gerados em /private/tmp.
Desativar
  1. Faça login no endpoint afetado.
  2. No menu Apple, clique em Go e, em seguida, selecione Utilities.

Utilitários

  1. Clique duas vezes em Terminal.

Terminal

  1. Em Terminal, digite sudo sysctl cs.feature=0 e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Confirm cs.feature=0.

Interface do usuário do terminal

  1. Faça login no endpoint afetado.
  2. Abra o Terminal do Linux.

Terminal

Nota: O layout da IU (interface do usuário) pode ser diferente entre as distribuições Linux.
  1. Em Terminal, digite su root e pressione Enter.
  2. Preencha a senha para sudoe pressione Enter.

Terminal preenchendo a senha do sudo

  1. Digite sudo mkdir /tmp/CrowdStrike e pressione Enter.

Diretório de tomada de terminal

Nota: O exemplo /tmp/CrowdStrike O diretório pode ser modificado em seu ambiente.
  1. Digite sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt e pressione Enter.
  2. Digite sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt e pressione Enter.
  3. Digite sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt e pressione Enter.
  4. Digite sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt e pressione Enter.

Interface do usuário do terminal

Nota: As distribuições Linux podem não ter todos os diretórios listados.
  1. Capturar todos os arquivos de saída no /tmp/CrowdStrike (Etapa 5) usando SSH.

Resultado da captura de terminal

Nota:
  • Por padrão, o SSH é desativado nas distribuições do Linux.
  • Assim que o SSH for ativado, um software de terceiro (como o PuTTY) poderá ser usado para a conexão ao endpoint Linux.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

其他信息

 

视频

 

文章属性

受影响的产品

CrowdStrike

上次发布日期

01 2月 2024

版本

17

文章类型

Solution

返回页首