如何收集 CrowdStrike Falcon Sensor 記錄
摘要: 瞭解如何收集 CrowdStrike Falcon 感測器記錄以進行故障診斷。Windows、Mac 和 Linux 提供逐步指南。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
本文探討收集 CrowdStrike Falcon 感測器記錄的方法。
受影響的產品:
- CrowdStrike Falcon Sensor
受影響的作業系統:
- Windows
- Mac
- Linux
原因
不適用
解析度
強烈建議您在故障排除 CrowdStrike Falcon 感測器或聯絡 Dell 支援部門之前,先收集記錄檔。
注意:若要瞭解如何聯絡 Dell 支援的更多資訊,請參閱 Dell Data Security 國際支援電話號碼。
單擊 Windows、 Mac 或 Linux 以取得相關的記錄資訊。
使用者可以手動收集以下記錄,在 Windows 上疑難解答 CrowdStrike Falcon 感測器:
如需詳細資訊,請按一下適當的記錄類型。
MSI
- 登入 受影響的端點。
- 以滑鼠右鍵按一下 Windows「開始」功能表,然後選取執行。
- 在執行使用者介面 (UI) 中,輸入以下任一項:
- 若由使用者安裝:
%LOCALAPPDATA%\Temp然後按一下 「OK」。 - 如果是透過自動更新安裝:
%SYSTEMROOT%\Temp然後按一下 「OK」。
- 若由使用者安裝:
- 收集:
CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].logCrowdStrike Window Sensor_[TIMESTAMP].log
注意:
[TIMESTAMP]= 安裝日期與時間[BIT]= 代表 Agent32 或 Agent64
產品
建議 您啟用 詳細數據,然後在 擷取 產品記錄之前重現問題。問題解決后,建議 您停 用詳細資訊。如需詳細資訊,請按一下適當的程序。
啟用
警告:
- Dell Technologies 建議您僅在故障排除問題時啟用詳細功能。
- Dell Technologies 建議您在問題解決後停用詳細資訊。
- 啟用詳細資料時,端點可能會發生效能下降的情況。
- 登入 受影響的端點。
- 以滑鼠右鍵按一下 Windows「開始」功能表,然後選取執行。
- 在執行使用者介面 (UI) 中鍵入
regedit然後按下 CTRL+SHIFT+ENTER,以系統管理員身分執行登錄編輯器。
- 如果已啟用使用者帳戶控制 (UAC),請按一下是。否則,請前往步驟 5。
- 移至(G)
[HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]。
- 連按兩下
AFLAGS。
- 按 下 Delete 鍵,鍵入
03然後按一下 「OK」。
- 按一下檔案,然後選取退出。
注意:啟用記錄後,即可重現問題。
擷取
- 登入 受影響的端點。
- 以滑鼠右鍵按一下 Windows「開始」功能表,然後選取執行。
- 在執行使用者介面 (UI) 中鍵入
eventvwr然後按一下 「OK」。
- 在「事件檢視器」中,展開 Windows 記錄,然後按一下系統。
- 以滑鼠右鍵按一下系統記錄,然後選取篩選目前的記錄。
- 將 來源 設定為
CSAgent。
- 以滑鼠右鍵按一下系統記錄,然後選取將篩選的記錄檔另存新檔。
- 將檔名變更為
CrowdStrike_[WORKSTATIONNAME].evtx然後按下[ Save] (儲存)。
注意:Dell Technologies 建議您指定
[WORKSTATIONNAME] 萬一多個端點發生問題。
停用
- 登入 受影響的端點。
- 以滑鼠右鍵按一下 Windows「開始」功能表,然後選取執行。
- 在執行使用者介面 (UI) 中鍵入
regedit然後按下 CTRL+SHIFT+ENTER,以系統管理員身分執行登錄編輯器。
- 如果已啟用使用者帳戶控制 (UAC),請按一下是。否則請前往步驟 5。
- 移至(G)
[HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default]。
- 按 下 Delete 鍵,鍵入
0然後按一下 「OK」。
- 按一下檔案,然後選取退出。
使用者可以收集以下數據,對 Mac 上的 CrowdStrike Falcon 感測器進行故障診斷:
如需詳細資訊,請按一下適當的紀錄類型。
安裝
CrowdStrike Falcon Sensor 使用原生 install.log 記錄安裝資訊。
- 從 Apple 功能表中,按一下「前往」,然後選取前往資料夾。
- 類型
/var/log然後按兩 下「Go」。
- 複製
Install.log前往立即可用的位置以利進一步調查。
注意:Dell Technologies 建議您搜尋「CrowdStrike」,以確保該資訊與 CrowdStrike 相關。
產品
建議 您啟用 詳細數據,然後在 擷取 產品記錄之前重現問題。問題解決后,建議 您停 用詳細資訊。如需詳細資訊,請按一下適當的程序。
啟用
警告:
- Dell Technologies 建議您僅在故障排除問題時啟用詳細功能。
- Dell Technologies 建議您在問題解決後停用詳細資訊。
- 啟用詳細資料時,端點可能會發生效能下降的情況。
- 登入受影響的端點。
- 在 Apple 功能表中,按一下執行,然後選取公用程式。
- 按兩下終端機。
- 在終端機中,輸入
sudo sysctl cs.feature=3然後按下 Enter 鍵。 - 填入密碼
sudo然後按下 Enter 鍵。
- 確認
cs.feature=3。
注意:啟用記錄後,即可重現問題。
擷取
- 登入 受影響的端點。
- 在 Apple 功能表中,按一下執行,然後選取公用程式。
- 按兩下終端機。
- 在終端機中,輸入
sudo /Library/CS/falconctl diagnose然後按下 Enter 鍵。 - 填入密碼
sudo然後按下 Enter 鍵。
- 數分鐘后,
falconctl_diagnose.tgz將產生於/private/tmp。
停用
- 登入受影響的端點。
- 在 Apple 功能表中,按一下執行,然後選取公用程式。
- 按兩下終端機。
- 在終端機中,輸入
sudo sysctl cs.feature=0然後按下 Enter 鍵。 - 填入密碼
sudo然後按下 Enter 鍵。
- 確認
cs.feature=0。
- 登入受影響的端點。
- 開啟 Linux 終端機。
注意:Linux 發行版本的使用者介面 (UI) 配置可能有所不同。
- 在終端機中,輸入
su root然後按下 Enter 鍵。 - 填入密碼
sudo然後按下 Enter 鍵。
- 類型
sudo mkdir /tmp/CrowdStrike然後按下 Enter 鍵。
注意:範例
/tmp/CrowdStrike 可在您的環境中修改目錄。
- 類型
sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt然後按下 Enter 鍵。 - 類型
sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt然後按下 Enter 鍵。 - 類型
sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt然後按下 Enter 鍵。 - 類型
sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt然後按下 Enter 鍵。
注意:Linux 版本可能沒有所有列出的目錄。
- 擷取內的所有輸出檔案
/tmp/CrowdStrike(步驟 5) 使用 SSH。
注意:
- 根據預設,Linux 版本上的 SSH 已停用。
- 啟用 SSH 後,第三方軟體 (例如 PuTTY) 即可用來連線至 Linux 端點。
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
其他資訊
影片
受影響的產品
CrowdStrike文章屬性
文章編號: 000178209
文章類型: Solution
上次修改時間: 01 2月 2024
版本: 17
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。