Ressourcen
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Sammeln von Diagnoseinformationen
Wenn Sie ein Problem reproduzieren können, erhöhen Sie zunächst den Protokolliergrad, führen Sie das System für einige Zeit aus, und stellen Sie dann den Standardprotokolliergrad wieder her.
Erhöhen des Protokolliergrads:
mdatp log level set --level debugLog level configured successfullyReproduzieren Sie das Problem.
Führen Sie den folgenden Befehl aus, um die Protokolle von Defender für Endpunkt zu sichern. Die Dateien werden in einem .zip Archiv gespeichert.
sudo mdatp diagnostic createDieser Befehl gibt auch den Dateipfad zur Sicherung aus, nachdem der Vorgang erfolgreich war:
Diagnostic file created: <path to file>Wiederherstellungsprotokolliergrad:
mdatp log level set --level infoLog level configured successfully
Protokollieren von Installationsproblemen
Wenn während der Installation ein Fehler auftritt, meldet das Installationsprogramm nur einen allgemeinen Fehler.
Das ausführliche Protokoll wird in /var/log/microsoft/mdatp/install.loggespeichert.
Wenn während der Installation Probleme auftreten, senden Sie uns diese Datei, damit wir ihnen bei der Diagnose der Ursache helfen können.
Deinstallieren von Defender für Endpunkt unter Linux
Es gibt mehrere Möglichkeiten, Defender für Endpunkt unter Linux zu deinstallieren. Wenn Sie ein Konfigurationstool wie Puppet verwenden, befolgen Sie die Anweisungen zur Paketentinstallation für das Konfigurationstool.
Manuelle Deinstallation
-
sudo yum remove mdatpfür RHEL und Varianten (CentOS und Oracle Linux). -
sudo zypper remove mdatpfür SLES und Varianten. -
sudo apt-get purge mdatpfür Ubuntu- und Debian-Systeme. -
sudo dnf remove mdatpfür Mariner
Konfigurieren über die Befehlszeile
Wichtige Aufgaben, z. B. das Steuern von Produkteinstellungen und das Auslösen von On-Demand-Scans, können über die Befehlszeile ausgeführt werden.
Globale Optionen
Standardmäßig gibt das Befehlszeilentool das Ergebnis im lesbaren Format aus. Darüber hinaus unterstützt das Tool auch die Ausgabe des Ergebnisses als JSON, was für Automatisierungsszenarien nützlich ist. Um die Ausgabe in JSON zu ändern, übergeben Sie --output json an einen der folgenden Befehle.
Unterstützte Befehle
In der folgenden Tabelle sind Die Befehle für einige der häufigsten Szenarien aufgeführt. Führen Sie mdatp help im Terminal aus, um die vollständige Liste der unterstützten Befehle anzuzeigen.
| Gruppe | Szenario | Befehl |
|---|---|---|
| Konfiguration | Aktivieren/Deaktivieren des Echtzeitschutzes | mdatp config real-time-protection --value [enabled\|disabled] |
| Konfiguration | Aktivieren/Deaktivieren der Verhaltensüberwachung | mdatp config behavior-monitoring --value [enabled\|disabled] |
| Konfiguration | Aktivieren/Deaktivieren des Cloudschutzes | mdatp config cloud --value [enabled\|disabled] |
| Konfiguration | Aktivieren/Deaktivieren von Produkt-Diagnose | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| Konfiguration | Aktivieren/Deaktivieren der automatischen Beispielübermittlung | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| Konfiguration | Aktivieren/Deaktivieren des passiven AV-Modus | mdatp config passive-mode --value [enabled\|disabled] |
| Konfiguration | Hinzufügen/Entfernen eines Antivirenausschlusses für eine Dateierweiterung | mdatp exclusion extension [add\|remove] --name [extension] |
| Konfiguration | Hinzufügen/Entfernen eines Antivirenausschlusses für eine Datei | mdatp exclusion file [add\|remove] --path [path-to-file] |
| Konfiguration | Hinzufügen/Entfernen eines Antivirenausschlusses für ein Verzeichnis | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| Konfiguration | Hinzufügen/Entfernen eines Antivirenausschlusses für einen Prozess | mdatp exclusion process [add\|remove] --path [path-to-process] |
| Konfiguration | Hinzufügen/Entfernen eines globalen Ausschlusses für eine Datei | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| Konfiguration | Hinzufügen/Entfernen eines globalen Ausschlusses für ein Verzeichnis | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| Konfiguration | Hinzufügen/Entfernen eines globalen Ausschlusses für einen Prozess | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| Konfiguration | Auflisten aller Antivirenausschlüsse | mdatp exclusion list |
| Konfiguration | Hinzufügen eines Bedrohungsnamens zur Liste zulässiger Daten | mdatp threat allowed add --name [threat-name] |
| Konfiguration | Entfernen eines Bedrohungsnamens aus der Liste zulässiger Daten | mdatp threat allowed remove --name [threat-name] |
| Konfiguration | Auflisten aller zulässigen Bedrohungsnamen | mdatp threat allowed list |
| Konfiguration | Aktivieren des PUA-Schutzes | mdatp threat policy set --type potentially_unwanted_application --action block |
| Konfiguration | Deaktivieren des PUA-Schutzes | mdatp threat policy set --type potentially_unwanted_application --action off |
| Konfiguration | Aktivieren des Überwachungsmodus für PUA-Schutz | mdatp threat policy set --type potentially_unwanted_application --action audit |
| Konfiguration | Konfigurieren des Parallelitätsgrads für bedarfsgesteuerte Überprüfungen | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Konfiguration | Aktivieren/Deaktivieren von Überprüfungen nach Security Intelligence-Updates | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Konfiguration | Aktivieren/Deaktivieren der Archivüberprüfung (nur bedarfsgesteuerte Überprüfungen) | mdatp config scan-archives --value [enabled/disabled] |
| Konfiguration | Aktivieren/Deaktivieren der Dateihashberechnung | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Diagnose | Ändern der Protokollebene | mdatp log level set --level verbose [error|warning|info|verbose] |
| Diagnose | Generieren von Diagnoseprotokollen | mdatp diagnostic create --path [directory] |
| Diagnose | Größenbeschränkungen für beibehaltene Produktprotokolle | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| Health | Überprüfen der Integrität des Produkts | mdatp health |
| Schutz | Überprüfen eines Pfads | mdatp scan custom --path [path] [--ignore-exclusions] |
| Schutz | Durchführen einer Schnellüberprüfung | mdatp scan quick |
| Schutz | Durchführen einer vollständigen Überprüfung | mdatp scan full |
| Schutz | Abbrechen einer laufenden bedarfsgesteuerten Überprüfung | mdatp scan cancel |
| Schutz | Anfordern eines Security Intelligence-Updates | mdatp definitions update |
| Schutz | Zurücksetzen der Sicherheitsintelligenz auf den ursprünglichen Standardsatz | mdatp definitions restore |
| Schutzverlauf | Drucken des vollständigen Schutzverlaufs | mdatp threat list |
| Schutzverlauf | Abrufen von Bedrohungsdetails | mdatp threat get --id [threat-id] |
| Quarantäneverwaltung | Auflisten aller in Quarantäne befindlichen Dateien | mdatp threat quarantine list |
| Quarantäneverwaltung | Entfernen aller Dateien aus der Quarantäne | mdatp threat quarantine remove-all |
| Quarantäneverwaltung | Hinzufügen einer Datei, die als Bedrohung für die Quarantäne erkannt wurde | mdatp threat quarantine add --id [threat-id] |
| Quarantäneverwaltung | Entfernen einer Als Bedrohung erkannten Datei aus der Quarantäne | mdatp threat quarantine remove --id [threat-id] |
| Quarantäneverwaltung | Stellen Sie eine Datei aus der Quarantäne wieder her. Verfügbar in Der Defender für Endpunkt-Version niedriger als 101.23092.0012. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Quarantäneverwaltung | Stellen Sie eine Datei aus der Quarantäne mit der Bedrohungs-ID wieder her. Verfügbar in Defender für Endpunkt Version 101.23092.0012 oder höher. | mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Quarantäneverwaltung | Stellen Sie eine Datei aus der Quarantäne mit dem ursprünglichen Bedrohungspfad wieder her. Verfügbar in Defender für Endpunkt Version 101.23092.0012 oder höher. | mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Erkennung und Reaktion am Endpunkt | Festlegen der frühen Vorschau | mdatp edr early-preview [enabled\|disabled] |
| Erkennung und Reaktion am Endpunkt | Group-ID festlegen | mdatp edr group-ids --group-id [group-id] |
| Erkennung und Reaktion am Endpunkt | Tag festlegen/entfernen, nur GROUP unterstützt |
mdatp edr tag set --name GROUP --value [tag] |
| Erkennung und Reaktion am Endpunkt | Auflisten von Ausschlüssen (Stamm) | mdatp edr exclusion list [processes|paths|extensions|all] |
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.