Spuštění klientského analyzátoru v macOS a Linuxu
Platí pro:
XMDEClientAnalyzer se používá k diagnostice Microsoft Defender for Endpoint problémů se stavem nebo spolehlivostí na nasazených zařízeních s Linuxem nebo macOS.
Nástroj analyzátoru klienta můžete spustit dvěma způsoby:
- Použití binární verze (bez závislostí Na Pythonu)
- Použití řešení založeného na Pythonu
Spuštění binární verze analyzátoru klienta
Na počítač s macOS nebo Linuxem, který potřebujete prozkoumat, si stáhněte nástroj XMDE Client Analyzer Binary .
Pokud používáte terminál, stáhněte si nástroj zadáním následujícího příkazu:wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
Ověřte stažení.
Poznámka
Aktuální hodnota hash SHA256 XMDEClientAnalyzerBinary.zip stažená z tohoto odkazu je: 9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469
- Linux
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c
- macOS
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
Extrahujte obsah XMDEClientAnalyzerBinary.zip na počítači.
Pokud používáte terminál, extrahujte soubory zadáním následujícího příkazu:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
Zadáním následujícího příkazu přejděte do adresáře nástroje:
cd XMDEClientAnalyzerBinary
Vytvoří se tři nové soubory ZIP:
- SupportToolLinuxBinary.zip : Pro všechna zařízení s Linuxem
- SupportToolMacOSBinary.zip : Pro zařízení Mac
Rozbalte jeden z výše uvedených 2 souborů ZIP na základě počítače, který potřebujete prozkoumat.
Pokud používáte terminál, rozbalte soubor zadáním jednoho z následujících příkazů založených na typu operačního systému:Linux
unzip -q SupportToolLinuxBinary.zip
Mac
unzip -q SupportToolMacOSBinary.zip
Spuštěním nástroje jako kořenového adresáře vygenerujte diagnostický balíček:
sudo ./MDESupportTool -d
Spuštění analyzátoru klienta založeného na Pythonu
Poznámka
Analyzátor závisí na několika dalších balíčcích PIP (sh, distro, lxml, pandas), které jsou nainstalovány v operačním systému, když jsou v kořenovém adresáři, aby se vytvořil výstup výsledku. Pokud není nainstalovaný, analyzátor se ho pokusí načíst z oficiálního úložiště pro balíčky Pythonu.
Upozornění
Spuštění analyzátoru klienta založeného na Pythonu vyžaduje instalaci balíčků PIP, což může způsobit některé problémy ve vašem prostředí. Aby nedocházelo k problémům, doporučujeme nainstalovat balíčky do uživatelského prostředí PIP.
Kromě toho nástroj v současné době vyžaduje, aby byl nainstalovaný Python verze 3 nebo novější.
Pokud je vaše zařízení za proxy serverem, můžete jednoduše předat proxy server jako proměnnou prostředí mde_support_tool.sh skriptu. Příklad: .
https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
Stáhněte si nástroj XMDE Client Analyzer na počítač s macOS nebo Linuxem, který potřebujete prozkoumat.
Pokud používáte terminál, stáhněte si nástroj spuštěním následujícího příkazu:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
Ověření stahování
- Linux
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c
- macOS
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | shasum -a 256 -c
Extrahujte obsah XMDEClientAnalyzer.zip na počítači.
Pokud používáte terminál, extrahujte soubory pomocí následujícího příkazu:unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
Změňte adresář na extrahované umístění.
cd XMDEClientAnalyzer
Udělte spustitelnému souboru nástroje oprávnění:
chmod a+x mde_support_tool.sh
Spusťte příkaz jako uživatel bez rootu a nainstalujte požadované závislosti:
./mde_support_tool.sh
Pokud chcete shromáždit skutečný diagnostický balíček a vygenerovat soubor archivu výsledků, spusťte znovu příkaz jako root:
sudo ./mde_support_tool.sh -d
Možnosti příkazového řádku
Primární příkazové řádky
Pomocí následujícího příkazu získáte diagnostiku počítače.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Příklad použití: sudo ./MDESupportTool -d
Poziční argumenty
Shromažďování informací o výkonu
Shromážděte rozsáhlé trasování výkonu počítače pro analýzu scénáře výkonu, který lze reprodukovat na vyžádání.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Příklad použití: sudo ./MDESupportTool performance --frequency 2
Použití trasování operačního systému (jenom pro macOS)
Pomocí zařízení trasování operačního systému můžete zaznamenávat trasování výkonu Defenderu for Endpoint.
Poznámka
Tato funkce existuje pouze v řešení Pythonu.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
Při prvním spuštění tohoto příkazu se nainstaluje konfigurace profilu.
Pokud chcete schválit instalaci profilu, postupujte takto: Průvodce podporou Apple.
Příklad použití ./mde_support_tool.sh trace --length 5
Režim vyloučení
Přidání vyloučení pro monitorování audit-d
Poznámka
Tato funkce existuje pouze pro Linux.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Příklad použití: sudo ./MDESupportTool exclude -d /var/foo/bar
Auditovaný omezovač rychlosti
Syntaxe, která se dá použít k omezení počtu událostí hlášených modulem plug-in auditD. Tato možnost nastaví limit četnosti pro AuditD globálně, což způsobí pokles všech událostí auditu. Pokud je omezovač povolený, počet auditovaných událostí je omezený na 2500 událostí za sekundu. Tuto možnost je možné použít v případech, kdy dochází k vysokému využití procesoru na straně AuditD.
Poznámka
Tato funkce existuje pouze pro Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Příklad použití: sudo ./mde_support_tool.sh ratelimit -e true
Poznámka
Tato funkce by se měla pečlivě používat, protože omezuje počet událostí hlášených auditovaným subsystémem jako celkem. To by mohlo snížit počet událostí i pro ostatní předplatitele.
Auditované přeskakování chybných pravidel
Tato možnost umožňuje přeskočit chybná pravidla přidaná do souboru auditovaných pravidel při jejich načítání. Tato možnost umožňuje auditovanému subsystému pokračovat v načítání pravidel, i když existuje chybné pravidlo. Tato možnost shrnuje výsledky načítání pravidel. Na pozadí tato možnost spustí auditctl s parametrem -c.
Poznámka
Tato funkce je dostupná jenom v Linuxu.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Příklad použití: sudo ./mde_support_tool.sh skipfaultyrules -e true
Poznámka
Tato funkce přeskočí chybná pravidla. Chybné pravidlo je pak potřeba dále identifikovat a opravit.
Výsledný obsah balíčku v macOS a Linuxu
report.html
Popis: Hlavní výstupní soubor HTML, který obsahuje zjištění a pokyny, které může vytvořit skript analyzátoru spuštěný na počítači.
mde_diagnostic.zip
Popis: Stejný diagnostický výstup, který se vygeneruje při spuštění příkazu mdatp diagnostic create v macOS nebo Linuxu.
mde.xml
Popis: Výstup XML, který se generuje za běhu a slouží k sestavení souboru sestavy HTML.
Processes_information.txt
Popis: Obsahuje podrobnosti o spuštěných Microsoft Defender for Endpoint souvisejících procesů v systému.
Log.txt
Popis: Obsahuje stejné zprávy protokolu napsané na obrazovce během shromažďování dat.
Health.txt
Popis: Stejný základní výstup stavu, který se zobrazí při spuštění příkazu mdatp health .
Events.xml
Popis: Další soubor XML používaný analyzátorem při vytváření sestavy HTML.
Audited_info.txt
Popis: Podrobnosti o auditované službě a souvisejících komponentách pro operační systém Linux .
perf_benchmark.tar.gz
Popis: Sestavy testu výkonnosti. Zobrazí se jenom v případě, že používáte parametr výkonu.
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro