Kør klientanalysen på macOS og Linux
XMDEClientAnalyzer bruges til at diagnosticere Microsoft Defender for Endpoint problemer med tilstand eller pålidelighed på onboardede enheder, der kører enten Linux eller macOS.
Der er to måder at køre klientanalyseværktøjet på:
- Brug af en binær version (ingen ekstern Python-afhængighed)
- Brug af en Python-baseret løsning
Kørsel af den binære version af klientanalysen
Download værktøjet XMDE Client Analyzer Binary til den macOS- eller Linux-maskine, du skal undersøge.
Hvis du bruger en terminal, skal du downloade værktøjet ved at angive følgende kommando:wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinaryKontrollér overførslen.
- Linux
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c- macOS
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -cUdpak indholdet af XMDEClientAnalyzerBinary.zip på maskinen.
Hvis du bruger en terminal, skal du pakke filerne ud ved at angive følgende kommando:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinarySkift til værktøjets mappe ved at angive følgende kommando:
cd XMDEClientAnalyzerBinaryDer oprettes to nye zip-filer:
- SupportToolLinuxBinary.zip : Til alle Linux-enheder
- SupportToolMacOSBinary.zip : Til Mac-enheder
Pak en af de to ovennævnte zip-filer ud baseret på den maskine, du skal undersøge.
Når du bruger en terminal, skal du udpakke filen ved at angive en af følgende kommandoer, der er baseret på operativsystemtypen:
Linux
unzip -q SupportToolLinuxBinary.zipMac
unzip -q SupportToolMacOSBinary.zip
Kør værktøjet som rod for at generere diagnosticeringspakken:
sudo ./MDESupportTool -d
Kørsel af den Python-baserede klientanalyse
Bemærk!
- Analysen afhænger af nogle få ekstra PIP-pakker (
decorator,sh,distro,lxmlogpsutil), der installeres i operativsystemet, når de er i roden, for at producere resultatoutputtet. Hvis den ikke er installeret, forsøger analysefunktionen at hente den fra det officielle lager til Python-pakker. - Derudover kræver værktøjet i øjeblikket, at Python version 3 eller nyere er installeret på enheden.
- Hvis enheden er bag en proxy, kan du blot overføre proxyserveren som en miljøvariabel til scriptet
mde_support_tool.sh. For eksempel:https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".
Advarsel
Kørsel af den Python-baserede klientanalyse kræver installation af PIP-pakker, som kan medføre problemer i dit miljø. Hvis du vil undgå problemer, anbefales det, at du installerer pakkerne i et BRUGER-PIP-miljø.
Download værktøjet XMDE-klientanalyse til den macOS- eller Linux-maskine, du skal undersøge.
Hvis du bruger en terminal, skal du downloade værktøjet ved at køre følgende kommando:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzerKontrollér overførslen
- Linux
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c- macOS
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | shasum -a 256 -cUdpak indholdet af XMDEClientAnalyzer.zip på maskinen. Hvis du bruger en terminal, skal du pakke filerne ud ved hjælp af følgende kommando:
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzerSkift mappe til den udpakkede placering.
cd XMDEClientAnalyzerGiv værktøjet den eksekverbare tilladelse:
chmod a+x mde_support_tool.shKør som en bruger, der ikke er rodbruger, for at installere de påkrævede afhængigheder:
./mde_support_tool.shHvis du vil indsamle den faktiske diagnosticeringspakke og generere resultatarkivfilen, skal du køre igen som rod:
sudo ./mde_support_tool.sh -d
Kommandolinjeindstillinger
Primære kommandolinjer
Brug følgende kommando til at hente maskindiagnosticering.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--interactive, -i Interactive diagnostic
--delay DELAY, -dd DELAY
Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Eksempel på brug: sudo ./MDESupportTool -d
BEMÆRK! Funktionen til automatisk nulstilling på logniveau er kun tilgængelig i 2405- eller nyere klientversion.
Positionsargumenter
Indsaml oplysninger om ydeevne
Indsaml omfattende sporing af maskinydeevne til analyse af et ydeevnescenarie, der kan genskabes efter behov.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Eksempel på brug: sudo ./MDESupportTool performance --frequency 2
Brug OS-sporing (kun til macOS)
Brug operativsystemets sporingsfaciliteter til at registrere Defender for slutpunktsydeevnessporinger.
Bemærk!
Denne funktionalitet findes kun i Python-løsningen.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
Første gang denne kommando køres, installeres en profilkonfiguration.
Følg denne fremgangsmåde for at godkende profilinstallationen: Apple Support Guide.
Eksempel på anvendelse ./mde_support_tool.sh trace --length 5
Udelad tilstand
Tilføj udeladelser for overvågning af overvågning.
Bemærk!
Denne funktionalitet findes kun til Linux.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Eksempel på brug: sudo ./MDESupportTool exclude -d /var/foo/bar
Grænseværdi for overvåget sats
Syntaks, der kan bruges til at begrænse antallet af hændelser, der rapporteres af den overvågede plug-in. Denne indstilling angiver satsgrænsen globalt for Overvåget, hvilket medfører et fald i alle overvågningshændelser. Når begrænseren er aktiveret, er antallet af overvågede hændelser begrænset til 2500 hændelser pr. sekund. Denne indstilling kan bruges i tilfælde, hvor vi kan se et højt CPU-forbrug fra den overvågede side.
Bemærk!
Denne funktionalitet findes kun til Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Eksempel på brug: sudo ./mde_support_tool.sh ratelimit -e true
Bemærk!
Denne funktionalitet bør bruges omhyggeligt som en begrænsning af antallet af hændelser, der rapporteres af det overvågede delsystem som helhed. Dette kan også reducere antallet af hændelser for andre abonnenter.
Overvåg fejlbehæftede regler
Med denne indstilling kan du springe de fejlbehæftede regler, der er tilføjet i filen med overvågede regler, over, mens du indlæser dem. Denne indstilling gør det muligt for det overvågede undersystem at fortsætte indlæsningsregler, selvom der er en fejlbehæftet regel. Denne indstilling opsummerer resultaterne af indlæsningen af reglerne. I baggrunden kører denne indstilling overvågningsctl med indstillingen -c.
Bemærk!
Denne funktionalitet er kun tilgængelig på Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Eksempel på brug: sudo ./mde_support_tool.sh skipfaultyrules -e true
Bemærk!
Denne funktionalitet springer de fejlbehæftede regler over. Den fejlbehæftede regel skal derefter identificeres yderligere og rettes.
Resultatpakkeindhold på macOS og Linux
report.html
Beskrivelse: Den primære HTML-outputfil, der indeholder resultaterne og vejledningen fra kørsel af klientanalyseværktøjet på enheden. Denne fil genereres kun, når du kører den Python-baserede version af klientanalyseværktøjet.
mde_diagnostic.zip
Beskrivelse: Samme diagnosticeringsoutput, der genereres, når du kører oprettelse af mdatp-diagnosticering på enten macOS eller Linux.
mde.xml
Beskrivelse: XML-output, der genereres under kørsel, og som bruges til at oprette HTML-rapportfilen.
Processes_information.txt
Beskrivelse: Indeholder oplysninger om de kørende Microsoft Defender for Endpoint relaterede processer på systemet.
Log.txt
Beskrivelse: Indeholder de samme logmeddelelser, der er skrevet på skærmen under dataindsamlingen.
Health.txt
Beskrivelse: Det samme grundlæggende tilstandsoutput, der vises, når du kører mdatp-tilstandskommandoen .
Events.xml
Beskrivelse: Yderligere XML-fil, der bruges af analysefunktionen, når HTML-rapporten bygges.
Audited_info.txt
Beskrivelse: Oplysninger om overvåget tjeneste og relaterede komponenter til Linux OS.
perf_benchmark.tar.gz
Beskrivelse: Testrapporter for ydeevne. Du kan kun se dette, hvis du bruger parameteren for ydeevne.
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.