تشغيل محلل العميل على macOS وLinux

ينطبق على:

يتم استخدام XMDEClientAnalyzer لتشخيص Microsoft Defender لنقطة النهاية مشكلات الصحة أو الموثوقية على الأجهزة المإلحاقة التي تعمل إما بنظام Linux أو macOS.

هناك طريقتان لتشغيل أداة محلل العميل:

  1. استخدام إصدار ثنائي (لا توجد تبعية Python)
  2. استخدام حل يستند إلى Python

تشغيل الإصدار الثنائي من محلل العميل

  1. قم بتنزيل أداة XMDE Client Analyzer Binary إلى جهاز macOS أو Linux الذي تحتاج إلى التحقيق فيه.
    إذا كنت تستخدم محطة طرفية، فقم بتنزيل الأداة عن طريق إدخال الأمر التالي:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
    
  2. تحقق من التنزيل.

    ملاحظة

    تجزئة SHA256 الحالية ل "XMDEClientAnalyzerBinary.zip" التي تم تنزيلها من هذا الارتباط هي: "9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469"

    • ينكس
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    • ماك
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
    
  3. استخراج محتويات XMDEClientAnalyzerBinary.zip على الجهاز.

    إذا كنت تستخدم محطة طرفية، فاستخرج الملفات بإدخال الأمر التالي:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
    
  4. قم بالتغيير إلى دليل الأداة عن طريق إدخال الأمر التالي:

    cd XMDEClientAnalyzerBinary
    
  5. يتم إنتاج ثلاثة ملفات مضغوطة جديدة:

    • SupportToolLinuxBinary.zip : لجميع أجهزة Linux
    • SupportToolMacOSBinary.zip : لأجهزة Mac
  6. قم بفك ضغط أحد الملفات المضغوطة المذكورة أعلاه استنادا إلى الجهاز الذي تحتاج إلى التحقيق فيه.
    عند استخدام محطة طرفية، قم بفك ضغط الملف عن طريق إدخال أحد الأوامر التالية استنادا إلى نوع نظام التشغيل:

    • ينكس

      unzip -q SupportToolLinuxBinary.zip
      
    • Mac

      unzip -q SupportToolMacOSBinary.zip
      
  7. قم بتشغيل الأداة كجذر لإنشاء حزمة تشخيصية:

    sudo ./MDESupportTool -d
    

تشغيل محلل العميل المستند إلى Python

ملاحظة

  • يعتمد المحلل على عدد قليل من حزم PIP الإضافية (sh، distro، lxml، pandas) التي يتم تثبيتها في نظام التشغيل عندما تكون في الجذر لإنتاج إخراج النتيجة. إذا لم يتم تثبيته، فسيحاول المحلل إحضاره من المستودع الرسمي لحزم Python.

    تحذير

    يتطلب تشغيل محلل العميل المستند إلى Python تثبيت حزم PIP التي قد تتسبب في بعض المشكلات في بيئتك. لتجنب حدوث مشكلات، يوصى بتثبيت الحزم في بيئة PIP للمستخدم.

  • بالإضافة إلى ذلك، تتطلب الأداة حاليا تثبيت Python الإصدار 3 أو أحدث.

  • إذا كان جهازك خلف وكيل، فيمكنك ببساطة تمرير الخادم الوكيل كمتغير بيئة إلى البرنامج النصي mde_support_tool.sh. على سبيل المثال:. https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

  1. قم بتنزيل أداة محلل عميل XMDE إلى جهاز macOS أو Linux الذي تحتاج إلى التحقيق فيه.

    إذا كنت تستخدم محطة طرفية، فقم بتنزيل الأداة عن طريق تشغيل الأمر التالي:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
    
  2. تحقق من التنزيل

    • ينكس
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c
    
    • ماك
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66  XMDEClientAnalyzer.zip' | shasum -a 256 -c
    
  3. استخراج محتويات XMDEClientAnalyzer.zip على الجهاز.
    إذا كنت تستخدم محطة طرفية، فاستخرج الملفات باستخدام الأمر التالي:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
    
  4. تغيير الدليل إلى الموقع المستخرج.

    cd XMDEClientAnalyzer
    
  5. منح الأداة إذنا قابلا للتنفيذ:

    chmod a+x mde_support_tool.sh
    
  6. قم بتشغيل كمستخدم غير جذر لتثبيت التبعيات المطلوبة:

    ./mde_support_tool.sh
    
  7. لجمع حزمة التشخيص الفعلية وإنشاء ملف أرشيف النتائج، قم بتشغيل مرة أخرى كجذر:

    sudo ./mde_support_tool.sh -d
    

خيارات سطر الأوامر

أسطر الأوامر الأساسية

استخدم الأمر التالي للحصول على تشخيص الجهاز.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

مثال الاستخدام: sudo ./MDESupportTool -d

الوسيطات الموضعية

جمع معلومات الأداء

اجمع تتبع أداء الجهاز الشامل لتحليل سيناريو الأداء الذي يمكن إعادة إنتاجه عند الطلب.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

مثال الاستخدام: sudo ./MDESupportTool performance --frequency 2

استخدام تتبع نظام التشغيل (لنظام التشغيل macOS فقط)

استخدم مرافق تتبع نظام التشغيل لتسجيل تتبعات أداء Defender لنقطة النهاية.

ملاحظة

هذه الوظيفة موجودة في حل Python فقط.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

عند تشغيل هذا الأمر لأول مرة، يقوم بتثبيت تكوين ملف التعريف.

اتبع هذا للموافقة على تثبيت ملف التعريف: دليل دعم Apple.

مثال الاستخدام ./mde_support_tool.sh trace --length 5

وضع الاستبعاد

إضافة استثناءات لمراقبة التدقيق.

ملاحظة

هذه الوظيفة موجودة لنظام التشغيل Linux فقط.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

مثال الاستخدام: sudo ./MDESupportTool exclude -d /var/foo/bar

محدد المعدلات المدققة

بناء الجملة الذي يمكن استخدامه للحد من عدد الأحداث التي يتم الإبلاغ عنها بواسطة المكون الإضافي المدقق. يعين هذا الخيار حد المعدل عالميا ل AuditD مما يتسبب في انخفاض في جميع أحداث التدقيق. عند تمكين المحدد، يقتصر عدد الأحداث المدققة على 2500 حدث/ثانية. يمكن استخدام هذا الخيار في الحالات التي نرى فيها استخداما عاليا لوحدة المعالجة المركزية من جانب AuditD.

ملاحظة

هذه الوظيفة موجودة لنظام التشغيل Linux فقط.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

مثال الاستخدام: sudo ./mde_support_tool.sh ratelimit -e true

ملاحظة

يجب استخدام هذه الوظيفة بعناية للحد من عدد الأحداث التي يتم الإبلاغ عنها بواسطة النظام الفرعي المدقق ككل. قد يقلل هذا من عدد الأحداث للمشتركين الآخرين أيضا.

القواعد المعيبة للتخطي المدقق

يمكنك هذا الخيار من تخطي القواعد الخاطئة المضافة في ملف القواعد المدققة أثناء تحميلها. يسمح هذا الخيار لنظام فرعي مدقق بمتابعة تحميل القواعد حتى إذا كانت هناك قاعدة خاطئة. يلخص هذا الخيار نتائج تحميل القواعد. في الخلفية، يقوم هذا الخيار بتشغيل auditctl مع الخيار -c.

ملاحظة

تتوفر هذه الوظيفة فقط على Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

مثال الاستخدام: sudo ./mde_support_tool.sh skipfaultyrules -e true

ملاحظة

ستتخطى هذه الوظيفة القواعد الخاطئة. ثم يجب تحديد القاعدة الخاطئة وإصلاحها.

محتويات حزمة النتائج على macOS وLinux

  • report.html

    الوصف: ملف إخراج HTML الرئيسي الذي يحتوي على النتائج والإرشادات التي يمكن أن ينتجها البرنامج النصي للمحلل الذي يعمل على الجهاز.

  • mde_diagnostic.zip

    الوصف: نفس الإخراج التشخيصي الذي يتم إنشاؤه عند تشغيل إنشاء تشخيص mdatp إما على macOS أو Linux.

  • mde.xml

    الوصف: إخراج XML الذي يتم إنشاؤه أثناء التشغيل ويستخدم لإنشاء ملف تقرير html.

  • Processes_information.txt

    الوصف: يحتوي على تفاصيل التشغيل Microsoft Defender لنقطة النهاية العمليات ذات الصلة على النظام.

  • Log.txt

    الوصف: يحتوي على نفس رسائل السجل المكتوبة على الشاشة أثناء جمع البيانات.

  • Health.txt

    الوصف: نفس إخراج الصحة الأساسي الذي يظهر عند تشغيل أمر صحة mdatp .

  • Events.xml

    الوصف: ملف XML إضافي يستخدمه المحلل عند إنشاء تقرير HTML.

  • Audited_info.txt

    الوصف: تفاصيل حول الخدمة المدققة والمكونات ذات الصلة لنظام التشغيل Linux .

  • perf_benchmark.tar.gz

    الوصف: تقارير اختبار الأداء. سترى هذا فقط إذا كنت تستخدم معلمة الأداء.

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.