Kør klientanalysen på macOS og Linux
Gælder for:
XMDEClientAnalyzer bruges til at diagnosticere Microsoft Defender for Endpoint problemer med tilstand eller pålidelighed på onboardede enheder, der kører enten Linux eller macOS.
Der er to måder at køre klientanalyseværktøjet på:
- Brug af en binær version (ingen Python-afhængighed)
- Brug af en Python-baseret løsning
Kørsel af den binære version af klientanalysen
Download værktøjet XMDE Client Analyzer Binary til den macOS- eller Linux-maskine, du skal undersøge.
Hvis du bruger en terminal, skal du downloade værktøjet ved at angive følgende kommando:wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinaryKontrollér overførslen.
Bemærk!
Den aktuelle SHA256-hash for 'XMDEClientAnalyzerBinary.zip', der downloades fra dette link, er: '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469'
- Linux
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c- Macos
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -cUdpak indholdet af XMDEClientAnalyzerBinary.zip på maskinen.
Hvis du bruger en terminal, skal du pakke filerne ud ved at angive følgende kommando:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinarySkift til værktøjets mappe ved at angive følgende kommando:
cd XMDEClientAnalyzerBinaryDer oprettes tre nye zip-filer:
- SupportToolLinuxBinary.zip : Til alle Linux-enheder
- SupportToolMacOSBinary.zip : Til Mac-enheder
Pak en af de to ovennævnte zip-filer ud baseret på den maskine, du skal undersøge.
Når du bruger en terminal, skal du udpakke filen ved at angive en af følgende kommandoer, der er baseret på operativsystemtypen:Linux
unzip -q SupportToolLinuxBinary.zipMac
unzip -q SupportToolMacOSBinary.zip
Kør værktøjet som rod for at generere diagnosticeringspakken:
sudo ./MDESupportTool -d
Kørsel af den Python-baserede klientanalyse
Bemærk!
Analysen afhænger af få ekstra PIP-pakker (sh, distro, lxml, pandas), som installeres i operativsystemet, når de er i roden for at producere resultatoutputtet. Hvis den ikke er installeret, forsøger analysefunktionen at hente den fra det officielle lager til Python-pakker.
Advarsel
Kørsel af den Python-baserede klientanalyse kræver installation af PIP-pakker, som kan medføre problemer i dit miljø. Hvis du vil undgå problemer, anbefales det, at du installerer pakkerne i et BRUGER-PIP-miljø.
Desuden kræver værktøjet i øjeblikket, at Python version 3 eller nyere er installeret.
Hvis enheden er bag en proxy, kan du blot overføre proxyserveren som en miljøvariabel til mde_support_tool.sh scriptet. For eksempel: .
https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
Download værktøjet XMDE-klientanalyse til den macOS- eller Linux-maskine, du skal undersøge.
Hvis du bruger en terminal, skal du downloade værktøjet ved at køre følgende kommando:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzerKontrollér overførslen
- Linux
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c- Macos
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | shasum -a 256 -cUdpak indholdet af XMDEClientAnalyzer.zip på maskinen.
Hvis du bruger en terminal, skal du pakke filerne ud ved hjælp af følgende kommando:unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzerSkift mappe til den udpakkede placering.
cd XMDEClientAnalyzerGiv værktøjet den eksekverbare tilladelse:
chmod a+x mde_support_tool.shKør som en bruger, der ikke er rodbruger, for at installere de påkrævede afhængigheder:
./mde_support_tool.shHvis du vil indsamle den faktiske diagnosticeringspakke og generere resultatarkivfilen, skal du køre igen som rod:
sudo ./mde_support_tool.sh -d
Kommandolinjeindstillinger
Primære kommandolinjer
Brug følgende kommando til at hente maskindiagnosticering.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Eksempel på brug: sudo ./MDESupportTool -d
Positionsargumenter
Indsaml oplysninger om ydeevne
Indsaml omfattende sporing af maskinydeevne til analyse af et ydeevnescenarie, der kan genskabes efter behov.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Eksempel på brug: sudo ./MDESupportTool performance --frequency 2
Brug OS-sporing (kun til macOS)
Brug operativsystemets sporingsfaciliteter til at registrere Defender for slutpunktsydeevnessporinger.
Bemærk!
Denne funktionalitet findes kun i Python-løsningen.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
Første gang denne kommando køres, installeres en profilkonfiguration.
Følg denne fremgangsmåde for at godkende profilinstallationen: Apple Support Guide.
Eksempel på anvendelse ./mde_support_tool.sh trace --length 5
Udelad tilstand
Tilføj udeladelser for overvågning af overvågning.
Bemærk!
Denne funktionalitet findes kun til Linux.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Eksempel på brug: sudo ./MDESupportTool exclude -d /var/foo/bar
Grænseværdi for overvåget sats
Syntaks, der kan bruges til at begrænse antallet af hændelser, der rapporteres af den overvågede plug-in. Denne indstilling angiver satsgrænsen globalt for Overvåget, hvilket medfører et fald i alle overvågningshændelser. Når begrænseren er aktiveret, er antallet af overvågede hændelser begrænset til 2500 hændelser pr. sekund. Denne indstilling kan bruges i tilfælde, hvor vi kan se et højt CPU-forbrug fra den overvågede side.
Bemærk!
Denne funktionalitet findes kun til Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Eksempel på brug: sudo ./mde_support_tool.sh ratelimit -e true
Bemærk!
Denne funktionalitet bør bruges omhyggeligt som en begrænsning af antallet af hændelser, der rapporteres af det overvågede delsystem som helhed. Dette kan også reducere antallet af hændelser for andre abonnenter.
Overvåg fejlbehæftede regler
Med denne indstilling kan du springe de fejlbehæftede regler, der er tilføjet i filen med overvågede regler, over, mens du indlæser dem. Denne indstilling gør det muligt for det overvågede undersystem at fortsætte indlæsningsregler, selvom der er en fejlbehæftet regel. Denne indstilling opsummerer resultaterne af indlæsningen af reglerne. I baggrunden kører denne indstilling overvågningsctl med indstillingen -c.
Bemærk!
Denne funktionalitet er kun tilgængelig på Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Eksempel på brug: sudo ./mde_support_tool.sh skipfaultyrules -e true
Bemærk!
Denne funktionalitet springer de fejlbehæftede regler over. Den fejlbehæftede regel skal derefter identificeres yderligere og rettes.
Resultatpakkeindhold på macOS og Linux
report.html
Beskrivelse: Den primære HTML-outputfil, der indeholder de resultater og den vejledning, som analysescriptet kører på computeren, kan producere.
mde_diagnostic.zip
Beskrivelse: Samme diagnosticeringsoutput, der genereres, når du kører oprettelse af mdatp-diagnosticering på enten macOS eller Linux.
mde.xml
Beskrivelse: XML-output, der genereres under kørsel, og som bruges til at oprette HTML-rapportfilen.
Processes_information.txt
Beskrivelse: Indeholder oplysninger om de kørende Microsoft Defender for Endpoint relaterede processer på systemet.
Log.txt
Beskrivelse: Indeholder de samme logmeddelelser, der er skrevet på skærmen under dataindsamlingen.
Health.txt
Beskrivelse: Det samme grundlæggende tilstandsoutput, der vises, når du kører mdatp-tilstandskommandoen .
Events.xml
Beskrivelse: Yderligere XML-fil, der bruges af analysefunktionen, når HTML-rapporten bygges.
Audited_info.txt
Beskrivelse: Oplysninger om overvåget tjeneste og relaterede komponenter til Linux OS.
perf_benchmark.tar.gz
Beskrivelse: Testrapporter for ydeevne. Du kan kun se dette, hvis du bruger parameteren for ydeevne.
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om