تشغيل محلل العميل على macOS وLinux

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2

يتم استخدام XMDEClientAnalyzer لتشخيص Microsoft Defender لصحة نقطة النهاية أو مشكلات الموثوقية على الأجهزة المإلحاقة التي تعمل إما بنظام Linux أو macOS.

هناك طريقتان لتشغيل أداة محلل العميل:

1. استخدام إصدار ثنائي (لا توجد تبعية Python)
2. استخدام حل يستند إلى Python

تشغيل الإصدار الثنائي من محلل العميل

1. قم بتنزيل أداة XMDE Client Analyzer Binary إلى جهاز macOS أو Linux الذي تحتاج إلى التحقيق فيه.
   إذا كنت تستخدم محطة طرفية، فقم بتنزيل الأداة عن طريق إدخال الأمر التالي:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   

2. تحقق من التنزيل.

   ملاحظة

   تجزئة SHA256 الحالية ل "XMDEClientAnalyzerBinary.zip" التي تم تنزيلها من هذا الارتباط هي: "6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF"

   • Linux

   echo '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

   • macOS

   echo '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
   

3. استخراج محتويات XMDEClientAnalyzerBinary.zip على الجهاز.

   إذا كنت تستخدم محطة طرفية، فاستخرج الملفات بإدخال الأمر التالي:

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. قم بالتغيير إلى دليل الأداة عن طريق إدخال الأمر التالي:

   cd XMDEClientAnalyzerBinary
   

5. يتم إنتاج ثلاثة ملفات مضغوطة جديدة:

   • SupportToolLinuxBinary.zip : لجميع أجهزة Linux
   • SupportToolMacOSBinary.zip : لأجهزة Mac

6. قم بفك ضغط أحد الملفات المضغوطة المذكورة أعلاه استنادا إلى الجهاز الذي تحتاج إلى التحقيق فيه.
   عند استخدام محطة طرفية، قم بفك ضغط الملف عن طريق إدخال أحد الأوامر التالية استنادا إلى نوع نظام التشغيل:

   • Linux

     unzip -q SupportToolLinuxBinary.zip
     

   • Mac

     unzip -q SupportToolMacOSBinary.zip
     

7. قم بتشغيل الأداة كجذر لإنشاء حزمة تشخيصية:

   sudo ./MDESupportTool -d
   

تشغيل محلل العميل المستند إلى Python

ملاحظة

• يعتمد المحلل على عدد قليل من حزم PIP الإضافية (sh، distro، lxml، pandas) التي يتم تثبيتها في نظام التشغيل عندما تكون في الجذر لإنتاج إخراج النتيجة. إذا لم يتم تثبيته، فسيحاول المحلل إحضاره من المستودع الرسمي لحزم Python.

  تحذير

  يتطلب تشغيل محلل العميل المستند إلى Python تثبيت حزم PIP التي قد تتسبب في بعض المشكلات في بيئتك. لتجنب حدوث مشكلات، يوصى بتثبيت الحزم في بيئة PIP للمستخدم.

• بالإضافة إلى ذلك، تتطلب الأداة حاليا تثبيت Python الإصدار 3 أو أحدث.

• إذا كان جهازك خلف وكيل، فيمكنك ببساطة تمرير الخادم الوكيل كمتغير بيئة إلى البرنامج النصي mde_support_tool.sh. على سبيل المثال:. https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

1. قم بتنزيل أداة محلل عميل XMDE إلى جهاز macOS أو Linux الذي تحتاج إلى التحقيق فيه.

   إذا كنت تستخدم محطة طرفية، فقم بتنزيل الأداة عن طريق تشغيل الأمر التالي:

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. تحقق من التنزيل

   • Linux

   echo '799D1C8B24FB826283B9B04B4B503AE3C99A05FE7ADFE25A78A094E231572C4A XMDEClientAnalyzer.zip' | sha256sum -c
   

   • macOS

   echo '799D1C8B24FB826283B9B04B4B503AE3C99A05FE7ADFE25A78A094E231572C4A  XMDEClientAnalyzer.zip' | shasum -a 256 -c
   

3. استخراج محتويات XMDEClientAnalyzer.zip على الجهاز. إذا كنت تستخدم محطة طرفية، فاستخرج الملفات باستخدام الأمر التالي:

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. تغيير الدليل إلى الموقع المستخرج.

   cd XMDEClientAnalyzer
   

5. منح الأداة إذنا قابلا للتنفيذ:

   chmod a+x mde_support_tool.sh
   

6. قم بتشغيل كمستخدم غير جذر لتثبيت التبعيات المطلوبة:

   ./mde_support_tool.sh
   

7. لجمع حزمة التشخيص الفعلية وإنشاء ملف أرشيف النتائج، قم بتشغيل مرة أخرى كجذر:

   sudo ./mde_support_tool.sh -d
   

خيارات سطر الأوامر

أسطر الأوامر الأساسية

استخدم الأمر التالي للحصول على تشخيص الجهاز.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

مثال الاستخدام: sudo ./MDESupportTool -d

ملاحظة: تتوفر ميزة إعادة التعيين التلقائي على مستوى السجل فقط في 2405 أو إصدار عميل أحدث.

الوسيطات الموضعية

جمع معلومات الأداء

اجمع تتبع أداء الجهاز الشامل لتحليل سيناريو الأداء الذي يمكن إعادة إنتاجه عند الطلب.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

مثال الاستخدام: sudo ./MDESupportTool performance --frequency 2

استخدام تتبع نظام التشغيل (لنظام التشغيل macOS فقط)

استخدم مرافق تتبع نظام التشغيل لتسجيل تتبعات أداء Defender لنقطة النهاية.

ملاحظة

هذه الوظيفة موجودة في حل Python فقط.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

عند تشغيل هذا الأمر لأول مرة، يقوم بتثبيت تكوين ملف التعريف.

اتبع هذا للموافقة على تثبيت ملف التعريف: دليل دعم Apple.

مثال الاستخدام ./mde_support_tool.sh trace --length 5

وضع الاستبعاد

إضافة استثناءات لمراقبة التدقيق.

ملاحظة

هذه الوظيفة موجودة لنظام التشغيل Linux فقط.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

مثال الاستخدام: sudo ./MDESupportTool exclude -d /var/foo/bar

محدد المعدلات المدققة

بناء الجملة الذي يمكن استخدامه للحد من عدد الأحداث التي يتم الإبلاغ عنها بواسطة المكون الإضافي المدقق. يعين هذا الخيار حد المعدل عالميا ل AuditD مما يتسبب في انخفاض في جميع أحداث التدقيق. عند تمكين المحدد، يقتصر عدد الأحداث المدققة على 2500 حدث/ثانية. يمكن استخدام هذا الخيار في الحالات التي نرى فيها استخداما عاليا لوحدة المعالجة المركزية من جانب AuditD.

ملاحظة

هذه الوظيفة موجودة لنظام التشغيل Linux فقط.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

مثال الاستخدام: sudo ./mde_support_tool.sh ratelimit -e true

ملاحظة

يجب استخدام هذه الوظيفة بعناية للحد من عدد الأحداث التي يتم الإبلاغ عنها بواسطة النظام الفرعي المدقق ككل. قد يقلل هذا من عدد الأحداث للمشتركين الآخرين أيضا.

القواعد المعيبة للتخطي المدقق

يمكنك هذا الخيار من تخطي القواعد الخاطئة المضافة في ملف القواعد المدققة أثناء تحميلها. يسمح هذا الخيار لنظام فرعي مدقق بمتابعة تحميل القواعد حتى إذا كانت هناك قاعدة خاطئة. يلخص هذا الخيار نتائج تحميل القواعد. في الخلفية، يقوم هذا الخيار بتشغيل auditctl مع الخيار -c.

ملاحظة

تتوفر هذه الوظيفة فقط على Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

مثال الاستخدام: sudo ./mde_support_tool.sh skipfaultyrules -e true

ملاحظة

ستتخطى هذه الوظيفة القواعد الخاطئة. ثم يجب تحديد القاعدة الخاطئة وإصلاحها.

محتويات حزمة النتائج على macOS وLinux

• report.html

  الوصف: ملف إخراج HTML الرئيسي الذي يحتوي على النتائج والإرشادات من تشغيل أداة محلل العميل على الجهاز. يتم إنشاء هذا الملف فقط عند تشغيل الإصدار المستند إلى Python من أداة محلل العميل.

• mde_diagnostic.zip

  الوصف: نفس الإخراج التشخيصي الذي يتم إنشاؤه عند تشغيل إنشاء تشخيص mdatp إما على macOS أو Linux.

• mde.xml

  الوصف: إخراج XML الذي يتم إنشاؤه أثناء التشغيل ويستخدم لإنشاء ملف تقرير html.

• Processes_information.txt

  الوصف: يحتوي على تفاصيل العمليات المتعلقة بتشغيل Microsoft Defender لنقطة النهاية على النظام.

• Log.txt

  الوصف: يحتوي على نفس رسائل السجل المكتوبة على الشاشة أثناء جمع البيانات.

• Health.txt

  الوصف: نفس إخراج الصحة الأساسي الذي يظهر عند تشغيل أمر صحة mdatp .

• Events.xml

  الوصف: ملف XML إضافي يستخدمه المحلل عند إنشاء تقرير HTML.

• Audited_info.txt

  الوصف: تفاصيل حول الخدمة المدققة والمكونات ذات الصلة لنظام التشغيل Linux .

• perf_benchmark.tar.gz

  الوصف: تقارير اختبار الأداء. سترى هذا فقط إذا كنت تستخدم معلمة الأداء.

تلميح

هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.