跳转至主要内容
退出

欢迎访问戴尔

我的帐户
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表
  • 使用“Company Administration”(公司管理),管理Dell EMC站点、产品和产品级联系人。
登录 创建帐户 登录Premier 合作伙伴计划登录
联系我们

您的 Dell.com 购物车

文章编号: 000178209

Как собрать журналы датчика CrowdStrike Falcon

摘要: Узнайте, как собирать журналы датчика CrowdStrike Falcon для поиска и устранения неисправностей. Пошаговые руководства доступны для Windows, Mac и Linux.

本文可能已自动翻译。如果您对其质量有任何反馈,请使用此页面底部的表单告知我们。

文章内容

症状

В этой статье описываются способы сбора журналов для датчика CrowdStrike Falcon.

Затронутые продукты:

  • CrowdStrike Falcon Sensor

Затронутые операционные системы:

  • Windows
  • Mac
  • Linux

原因

Неприменимо

解决方案

Настоятельно рекомендуется выполнять сбор журналов перед поиском и устранением неисправностей датчика CrowdStrike Falcon или обращением в службу поддержки Dell.

Примечание.: Для получения дополнительной информации об обращении в службу поддержки Dell см. номера телефонов международной службы поддержки Dell Data Security.

Нажмите Windows, Mac или Linux для получения соответствующей информации журнала.

Пользователь может устранить неполадки датчика CrowdStrike Falcon в Windows, вручную собрав журналы для:

  • Журналы MSI : используются для устранения неполадок установки.
  • Журналы продукта : используются для устранения проблем с активацией, коммуникациями и поведением.

Выберите нужный тип журналов, чтобы ознакомиться с дополнительными сведениями.

MSI

  1. Войдите в затронутую конечную точку.
  2. Нажмите правой кнопкой мыши меню Windows «Пуск» и выберите пункт Выполнить.

Выполнить

  1. В пользовательском интерфейсе (UI) «Выполнить» введите одно из следующих значений.
    • При установке пользователем. %LOCALAPPDATA%\Temp , а затем нажмите кнопку ОК.
    • При установке с помощью автоматического обновления. %SYSTEMROOT%\Temp , а затем нажмите кнопку ОК.

Пользовательский интерфейс «Выполнить»

  1. Соберите:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

На рисунке показан пример файлов журнала.

Примечание.:
  • [TIMESTAMP] = Дата и время установки
  • [BIT] = Представляет Agent32 или Agent64

Продукт

Рекомендуется включить подробность, а затем воспроизвести проблему перед сбором журналов продукта. После устранения проблемы рекомендуется отключить подробности. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

Включение
Предупреждение.
  • Dell Technologies рекомендует включать подробный ввод информации только при устранении неполадок.
  • Dell Technologies рекомендует отключить подробности после устранения проблемы.
  • При включенных подробных сведениях может наблюдаться снижение производительности конечных точек.
  1. Войдите в затронутую конечную точку.
  2. Нажмите правой кнопкой мыши меню Windows «Пуск» и выберите пункт Выполнить.

Выполнить

  1. В пользовательском интерфейсе (UI) «Выполнить» введите regedit , а затем нажмите клавиши CTRL+SHIFT+ENTER, чтобы запустить редактор реестра от имени администратора.

Пользовательский интерфейс «Выполнить»

  1. Если включен контроль учетных записей (UAC), нажмите Yes. В противном случае перейдите к шагу 5.

Запрос контроля учетных записей пользователей

  1. Перейти к [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Реестр

  1. Двойной щелчок AFLAGS.

AFLAGS в реестре

  1. Нажмите Delete, введите 03, а затем нажмите кнопку ОК.

Экран редактирования двоичного значения

  1. Нажмите Файл и выберите Выход.

Выход из редактора реестра

Примечание.: После включения ведения журнала воспроизведите проблему.
Capture
  1. Войдите в затронутую конечную точку.
  2. Нажмите правой кнопкой мыши меню Windows «Пуск» и выберите пункт Выполнить.

Выполнить

  1. В пользовательском интерфейсе (UI) «Выполнить» введите eventvwr , а затем нажмите кнопку ОК.

Пользовательский интерфейс «Выполнить»

  1. В средстве просмотра событий разверните раздел Журналы Windows и нажмите Система.

Журналы Windows и система

  1. Правой кнопкой мыши нажмите на журнал системы и выберите пункт Фильтровать текущий журнал.

Фильтровать текущий журнал

  1. Установите для параметра «Source » значение CSAgent.

Установка CSAgent для источника событий

  1. Правой кнопкой мыши нажмите на системный журнал и выберите пункт Сохранить файл отфильтрованного журнала как.

Сохранить отфильтрованный файл журнала как

  1. Измените имя файла на CrowdStrike_[WORKSTATIONNAME].evtx , а затем нажмите кнопку Сохранить.

Изменение имени файла и сохранение

Примечание.: Dell Technologies рекомендует указать [WORKSTATIONNAME] Если проблема возникает на нескольких конечных точках.
Отключение
  1. Войдите в затронутую конечную точку.
  2. Нажмите правой кнопкой мыши меню Windows «Пуск» и выберите пункт Выполнить.

Выполнить

  1. В пользовательском интерфейсе (UI) «Выполнить» введите regedit , а затем нажмите клавиши CTRL+SHIFT+ENTER, чтобы запустить редактор реестра от имени администратора.

Пользовательский интерфейс «Выполнить»

  1. Если включен контроль учетных записей (UAC), нажмите Yes. В противном случае перейдите к шагу 5.

Запрос контроля учетных записей пользователей

  1. Перейдите на страницу [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

Реестр

  1. Нажмите Delete, введите 0, а затем нажмите кнопку ОК.

Редактировать двоичное значение

  1. Нажмите Файл и выберите Выход.

Выход из реестра

Пользователь может устранить неполадки датчика CrowdStrike Falcon на Mac, собрав:

Выберите нужный тип журналов, чтобы ознакомиться с дополнительными сведениями.

Установить

Датчик CrowdStrike Falcon использует собственный файл install.log для регистрации сведений об установке.

  1. В меню Apple нажмите «Перейти», затем выберите Перейти в папку.

Перейти в папку

  1. Введите /var/log , а затем нажмите кнопку Перейти.

Перейти к пользовательскому интерфейсу папки

  1. Копировать Install.log в легкодоступное место для дальнейшего изучения.

install.log

Примечание.: Dell Technologies рекомендует выполнить поиск по слову «CrowdStrike», чтобы убедиться, что информация имеет отношение к CrowdStrike.

Продукт

Рекомендуется включить подробность, а затем воспроизвести проблему перед сбором журналов продукта. После устранения проблемы рекомендуется отключить подробности. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

Включение
Предупреждение.
  • Dell Technologies рекомендует включать подробный ввод информации только при устранении неполадок.
  • Dell Technologies рекомендует отключить подробности после устранения проблемы.
  • При включенных подробных сведениях может наблюдаться снижение производительности конечных точек.
  1. Войдите в систему затронутой конечной точки.
  2. В меню Apple нажмите Перейти и выберите пункт Утилиты.

Утилиты

  1. Дважды нажмите Terminal.

Терминал

  1. В терминале введите sudo sysctl cs.feature=3 и затем нажмите клавишу Enter.
  2. Введите пароль для sudo, а затем нажмите клавишу Enter.

Заполнение пароля sudo в терминале

  1. Confirm cs.feature=3.

Интерфейс пользователя терминала

Примечание.: После включения ведения журнала воспроизведите проблему.
Capture
  1. Войдите в затронутую конечную точку.
  2. В меню Apple нажмите Перейти и выберите пункт Утилиты.

Утилиты

  1. Дважды нажмите Terminal.

Терминал

  1. В терминале введите sudo /Library/CS/falconctl diagnose и затем нажмите клавишу Enter.
  2. Введите пароль для sudo, а затем нажмите клавишу Enter.

Терминал заполняет пароль sudo

  1. Через несколько минут falconctl_diagnose.tgz будет сгенерирован в /private/tmp.
Отключение
  1. Войдите в систему затронутой конечной точки.
  2. В меню Apple нажмите Перейти и выберите пункт Утилиты.

Утилиты

  1. Дважды нажмите Terminal.

Терминал

  1. В терминале введите sudo sysctl cs.feature=0 и затем нажмите клавишу Enter.
  2. Введите пароль для sudo, а затем нажмите клавишу Enter.

Терминал заполняет пароль sudo

  1. Confirm cs.feature=0.

Интерфейс пользователя терминала

  1. Войдите в систему затронутой конечной точки.
  2. Откройте Terminal в Linux.

Терминал

Примечание.: Структура пользовательского интерфейса (UI) может отличаться в зависимости от дистрибутива Linux.
  1. В терминале введите su root и затем нажмите клавишу Enter.
  2. Введите пароль для sudo, а затем нажмите клавишу Enter.

Заполнение пароля sudo в терминале

  1. Введите sudo mkdir /tmp/CrowdStrike и затем нажмите клавишу Enter.

Каталог создания терминала

Примечание.: Пример /tmp/CrowdStrike Каталог может быть изменен в вашей среде.
  1. Введите sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt и затем нажмите клавишу Enter.
  2. Введите sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt и затем нажмите клавишу Enter.
  3. Введите sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt и затем нажмите клавишу Enter.
  4. Введите sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt и затем нажмите клавишу Enter.

Интерфейс пользователя терминала

Примечание.: Дистрибутивы Linux могут содержать не все перечисленные каталоги.
  1. Запишите все выходные файлы в /tmp/CrowdStrike (Шаг 5) с помощью SSH.

Терминал захватывает выходные данные

Примечание.:
  • По умолчанию протокол SSH отключен в дистрибутивах Linux.
  • Включив SSH, можно использовать программное обеспечение сторонних производителей (например, PuTTY) для подключения к конечной точке Linux.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

其他信息

 

视频

 

文章属性

受影响的产品

CrowdStrike

上次发布日期

01 2月 2024

版本

17

文章类型

Solution

返回页首