Ressourcen

  • Artikel

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Sammeln von Diagnoseinformationen

Wenn Sie ein Problem reproduzieren können, erhöhen Sie zunächst den Protokolliergrad, führen Sie das System für einige Zeit aus, und stellen Sie dann den Standardprotokolliergrad wieder her.

  1. Erhöhen des Protokolliergrads:

    mdatp log level set --level debug

    Log level configured successfully

  2. Reproduzieren Sie das Problem.

  3. Führen Sie den folgenden Befehl aus, um die Protokolle von Defender für Endpunkt zu sichern. Die Dateien werden in einem .zip Archiv gespeichert.

    sudo mdatp diagnostic create

    Dieser Befehl gibt auch den Dateipfad zur Sicherung aus, nachdem der Vorgang erfolgreich war:

    Diagnostic file created: <path to file>

  4. Wiederherstellungsprotokolliergrad:

    mdatp log level set --level info

    Log level configured successfully

Protokollieren von Installationsproblemen

Wenn während der Installation ein Fehler auftritt, meldet das Installationsprogramm nur einen allgemeinen Fehler.

Das ausführliche Protokoll wird in /var/log/microsoft/mdatp/install.loggespeichert. Wenn während der Installation Probleme auftreten, senden Sie uns diese Datei, damit wir ihnen bei der Diagnose der Ursache helfen können.

Deinstallieren von Defender für Endpunkt unter Linux

Es gibt mehrere Möglichkeiten, Defender für Endpunkt unter Linux zu deinstallieren. Wenn Sie ein Konfigurationstool wie Puppet verwenden, befolgen Sie die Anweisungen zur Paketentinstallation für das Konfigurationstool.

Manuelle Deinstallation

  • sudo yum remove mdatp für RHEL und Varianten (CentOS und Oracle Linux).
  • sudo zypper remove mdatp für SLES und Varianten.
  • sudo apt-get purge mdatp für Ubuntu- und Debian-Systeme.
  • sudo dnf remove mdatp für Mariner

Konfigurieren über die Befehlszeile

Wichtige Aufgaben, z. B. das Steuern von Produkteinstellungen und das Auslösen von On-Demand-Scans, können über die Befehlszeile ausgeführt werden.

Globale Optionen

Standardmäßig gibt das Befehlszeilentool das Ergebnis im lesbaren Format aus. Darüber hinaus unterstützt das Tool auch die Ausgabe des Ergebnisses als JSON, was für Automatisierungsszenarien nützlich ist. Um die Ausgabe in JSON zu ändern, übergeben Sie --output json an einen der folgenden Befehle.

Unterstützte Befehle

In der folgenden Tabelle sind Die Befehle für einige der häufigsten Szenarien aufgeführt. Führen Sie mdatp help im Terminal aus, um die vollständige Liste der unterstützten Befehle anzuzeigen.


Gruppe Szenario Befehl
Konfiguration Aktivieren/Deaktivieren des Echtzeitschutzes mdatp config real-time-protection --value [enabled\|disabled]
Konfiguration Aktivieren/Deaktivieren der Verhaltensüberwachung mdatp config behavior-monitoring --value [enabled\|disabled]
Konfiguration Aktivieren/Deaktivieren des Cloudschutzes mdatp config cloud --value [enabled\|disabled]
Konfiguration Aktivieren/Deaktivieren von Produkt-Diagnose mdatp config cloud-diagnostic --value [enabled\|disabled]
Konfiguration Aktivieren/Deaktivieren der automatischen Beispielübermittlung mdatp config cloud-automatic-sample-submission --value [enabled\|disabled]
Konfiguration Aktivieren/Deaktivieren des passiven AV-Modus mdatp config passive-mode --value [enabled\|disabled]
Konfiguration Hinzufügen/Entfernen eines Antivirenausschlusses für eine Dateierweiterung mdatp exclusion extension [add\|remove] --name [extension]
Konfiguration Hinzufügen/Entfernen eines Antivirenausschlusses für eine Datei mdatp exclusion file [add\|remove] --path [path-to-file]
Konfiguration Hinzufügen/Entfernen eines Antivirenausschlusses für ein Verzeichnis mdatp exclusion folder [add\|remove] --path [path-to-directory]
Konfiguration Hinzufügen/Entfernen eines Antivirenausschlusses für einen Prozess mdatp exclusion process [add\|remove] --path [path-to-process]

mdatp exclusion process [add\|remove] --name [process-name]
Konfiguration Auflisten aller Antivirenausschlüsse mdatp exclusion list
Konfiguration Hinzufügen eines Bedrohungsnamens zur Liste zulässiger Daten mdatp threat allowed add --name [threat-name]
Konfiguration Entfernen eines Bedrohungsnamens aus der Liste zulässiger Daten mdatp threat allowed remove --name [threat-name]
Konfiguration Auflisten aller zulässigen Bedrohungsnamen mdatp threat allowed list
Konfiguration Aktivieren des PUA-Schutzes mdatp threat policy set --type potentially_unwanted_application --action block
Konfiguration Deaktivieren des PUA-Schutzes mdatp threat policy set --type potentially_unwanted_application --action off
Konfiguration Aktivieren des Überwachungsmodus für PUA-Schutz mdatp threat policy set --type potentially_unwanted_application --action audit
Konfiguration Konfigurieren des Parallelitätsgrads für bedarfsgesteuerte Überprüfungen mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
Konfiguration Aktivieren/Deaktivieren von Überprüfungen nach Security Intelligence-Updates mdatp config scan-after-definition-update --value [enabled/disabled]
Konfiguration Aktivieren/Deaktivieren der Archivüberprüfung (nur bedarfsgesteuerte Überprüfungen) mdatp config scan-archives --value [enabled/disabled]
Konfiguration Aktivieren/Deaktivieren der Dateihashberechnung mdatp config enable-file-hash-computation --value [enabled/disabled]
Diagnose Ändern der Protokollebene mdatp log level set --level verbose [error|warning|info|verbose]
Diagnose Generieren von Diagnoseprotokollen mdatp diagnostic create --path [directory]
Diagnose Größenbeschränkungen für beibehaltene Produktprotokolle mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB]
Health Überprüfen der Integrität des Produkts mdatp health
Schutz Überprüfen eines Pfads mdatp scan custom --path [path] [--ignore-exclusions]
Schutz Durchführen einer Schnellüberprüfung mdatp scan quick
Schutz Durchführen einer vollständigen Überprüfung mdatp scan full
Schutz Abbrechen einer laufenden bedarfsgesteuerten Überprüfung mdatp scan cancel
Schutz Anfordern eines Security Intelligence-Updates mdatp definitions update
Schutzverlauf Drucken des vollständigen Schutzverlaufs mdatp threat list
Schutzverlauf Abrufen von Bedrohungsdetails mdatp threat get --id [threat-id]
Quarantäneverwaltung Auflisten aller in Quarantäne befindlichen Dateien mdatp threat quarantine list
Quarantäneverwaltung Entfernen aller Dateien aus der Quarantäne mdatp threat quarantine remove-all
Quarantäneverwaltung Hinzufügen einer Datei, die als Bedrohung für die Quarantäne erkannt wurde mdatp threat quarantine add --id [threat-id]
Quarantäneverwaltung Entfernen einer Als Bedrohung erkannten Datei aus der Quarantäne mdatp threat quarantine remove --id [threat-id]
Quarantäneverwaltung Stellen Sie eine Datei aus der Quarantäne wieder her. Verfügbar in Der Defender für Endpunkt-Version niedriger als 101.23092.0012. mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
Quarantäneverwaltung Stellen Sie eine Datei aus der Quarantäne mit der Bedrohungs-ID wieder her. Verfügbar in Defender für Endpunkt Version 101.23092.0012 oder höher. mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder]
Quarantäneverwaltung Stellen Sie eine Datei aus der Quarantäne mit dem ursprünglichen Bedrohungspfad wieder her. Verfügbar in Defender für Endpunkt Version 101.23092.0012 oder höher. mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Erkennung und Reaktion am Endpunkt Festlegen der frühen Vorschau mdatp edr early-preview [enabled\|disabled]
Erkennung und Reaktion am Endpunkt Group-ID festlegen mdatp edr group-ids --group-id [group-id]
Erkennung und Reaktion am Endpunkt Tag festlegen/entfernen, nur GROUP unterstützt mdatp edr tag set --name GROUP --value [tag]
Erkennung und Reaktion am Endpunkt Auflisten von Ausschlüssen (Stamm) mdatp edr exclusion list [processes|paths|extensions|all]

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.