In diesem Artikel gehen wir die Installation von Falcon LogScale Collector durch. Wir werden die Konfiguration nur kurz ansprechen, ausführlicher werden wir das aber im nächsten Artikel druchgsprechen. Dort werden wir auch die Möglichkeit der Verwaltung über das FleetManagement durchgehen.
Manuelle Installation – Windows, Linux
Der Falcon LogScale Collector kann auf den allen mordernen Windows Systemen installiert werden. Darüber hinaus, werden die folgenden offiziell von Crowdstrice unterstützt:
- Microsoft Windows Server 2016
- Microsoft Windows Server 2019 Standard
- Microsoft Windows Server 2022 Standard
- Microsoft Windows 10 Enterprise
- Microsoft Windows 11 Enterprise
Die Installation kann auf unterschiedliche Weisen statt finden. Zum testen der Konfiguration empfiehlt sich die manuelle Installation.
Download der Installationsdateien des Falcon Logscale Collector
Die Installationsdateien sind über die Cloud-Instanz herunterzuladen, diese ist entweder https://cloud.humio.com oder https://cloud.community.humio.com.
Auf der Startseite kann über die Kachel direkt auf die Downloadseite zugegriffen werden,
Sollte die Kachel nicht sichtbar sein, so kann direkt über das Fleet management auf den Menüpunkt LogScale Collector download zugegriffen werden.
Hier kann die entsprechende Version ausgewählt und heruntergeladen werden. Für den ersten Schritt nehmen wir uns die Installation unter Windows vor und ich zeige euch wie wir die Installation von Crowdstrike verteilen.
Installation über Gruppenrichtlinie
Für die Verteilung benötigen wir die Installationsdatei für Windows MSI x86_x64, bei meinem Beispiel ist die aktuellste Version 1.4.0. Diese kommt in der Form einer MSI-Datei, welche wir bequem über die Gruppenrichtlinie verteilen können. Die Datei laden wir herunter und speichern diese erst mal unter Downloads ab.
Als nächstes erstellen wir eine Freigabe, auf der Benutzer zugreifen kann, und die Datei lesen darf. In meinem Beispiel erstelle ich ein neues Verzeichnis namens LogScaleCollector im NETLOGON Verzeichnis. Der Pfad setzt sich dann aus eurem Domainnamen wie folgt zusammen.
\\<DOMAIN_NAME>\NETLOGON\LogScaleCollectorNachdem wir die Datei dorthin verschoben haben, erstellen wir eine neue Gruppenrichtlinie C_SW-LogScale_Collectorund öffnen im Anschluss die Richtlinie zum bearbeiten.
Unter dem Punkt Computer Configuration > Policies > Software Settings > Software Installation erstellen wir ein neues Package über das Kontextmenü.
Im nächsten Fenster wechseln wir in die Netzwerkfreigabe. Achtet bitte darauf, das ihr einen Netzwerkpfad verwendet. Dieser Pfad ist später entscheidend für die Installation am Client. Solltet ihr hier einen lokalen Pfad angeben, versucht die Gruppenrichtlinie, das Installationspaket lokal zu finden.
Wählt also die aktuellste Version in dem Verzeichnis aus und sagt Open. Ihr erhaltet direkt die nächste Frage, wie die Software verteilt werden soll. Hier könnt ihr euch zwischen Assigned oder Advanced entscheiden.
Wir werden keine Anpassungen vornehmen und können daher für die Verteilung Assigned verwenden. Habt ihr das Dialogfeld bestätigt, wird die Software hinzugefügt und die Installation kann durchgeführt werden.
Ihr seht jetzt auch die verwendete Version und die Quelle der Installationsdateien, welche nachträglich nicht geändert werden kann. Solltet ihr hier einen Fehler gemacht haben, dann löscht den Eintrag einfach und bestätigt den Dialog und startet erneut mit dem Hinzufügen der Datei.
Zuweisen der Gruppenrichtlinie
Für den Test solltet ihr die Gruppenrichtlinie nur für einen Test-PC oder -Server zuweisen. Dazu könnt ihr diese einfach in einer Organisationseinheit verknüpfen und das entsprechende Computerobjekt dorthin verschieben. Oder ihr habt schon eine Test-Organisationseinheit genau für solche Zwecke, dann müsst ihr nur noch die Gruppenrichtlinie hier verknüpfen.
Dazu wählt ihr einfach eure Organisationseinheit aus und öffnet das Kontextmenü. Dort wählt ihr den Eintrag Link an Existing GPO aus. Im anschließenden Fenster müssen wir nur noch die neu erstellte GPO finden. In meinem Beispiel habei ich diese C_SW-LogScale_Collector genannt.
Habt ihr alles richtig gemacht, dürfte mindest die neue GPO dort hinterlegt sein. Wenn vorher schon welche verknüpft waren, dann ist die Liste entsprechend länger. Je nach Einstellung, kann es auch sinnvoll sein, die Reihenfolge anzupassen. Für unseren Test ist diese erst mal uninteressant.
Im nächsten Schritt melden wir uns an dem Test-PC oder -Server an, der in dieser Organisationseinheit hinterlegt ist. Da es sich hierbei um eine Computer-Richtlinie handelt, wird diese erst nach ca. 90 Minuten oder einem Neustart des Computers aktualisiert. Damit wir einen sauberen Test durchführen können, starten wir in dem Fall einfach den Test-PC oder -Server einmal neu.
Nach einem Neustart können wir als erstes unter den installierten Programmen nachschauen, ob unser Installationspaket installiert wurde. Hier sollten wir einen ähnlichen Eintrag sehen, wie meinen. Es wurde erfolgreich die Version 1.4.0 vom Humio Log Collector installiert. Der Name ist jetzt etwas irreführend, die Softwarelösung wurde vom Namen Humio zu LogScale umbenannt und hat an einigen Stellen noch ihren ursprünglichen Namen.
Eine weitere Stelle an der die Installation oder ein eventueller Fehler geprüft werden kann, ist der Eventlog von Windows. Hier können wir im Eventlog unter System nach Fehlern zu dem Ereignis suchen.