Ejecutar el analizador de clientes en macOS o Linux
Se aplica a:
XMDEClientAnalyzer se usa para diagnosticar Microsoft Defender para punto de conexión problemas de mantenimiento o confiabilidad en dispositivos incorporados que ejecutan Linux o macOS.
Hay dos maneras de ejecutar la herramienta de analizador de cliente:
- Uso de una versión binaria (sin dependencia de Python)
- Uso de una solución basada en Python
Ejecución de la versión binaria del analizador de cliente
Descargue la herramienta binaria XMDE Client Analyzer en la máquina macOS o Linux que necesita investigar.
Si usa un terminal, descargue la herramienta escribiendo el siguiente comando:wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinaryCompruebe la descarga.
Nota:
El hash SHA256 actual de "XMDEClientAnalyzerBinary.zip" que se descarga desde este vínculo es: '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469'
- Linux
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c- macOS
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -cExtraiga el contenido de XMDEClientAnalyzerBinary.zip en el equipo.
Si usa un terminal, extraiga los archivos escribiendo el siguiente comando:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinaryPara cambiar al directorio de la herramienta, escriba el siguiente comando:
cd XMDEClientAnalyzerBinarySe generan tres nuevos archivos ZIP:
- SupportToolLinuxBinary.zip : para todos los dispositivos Linux
- SupportToolMacOSBinary.zip : para dispositivos Mac
Descomprima uno de los dos archivos ZIP anteriores en función de la máquina que necesite investigar.
Al usar un terminal, descomprima el archivo escribiendo uno de los siguientes comandos en función del tipo de sistema operativo:Linux
unzip -q SupportToolLinuxBinary.zipMac
unzip -q SupportToolMacOSBinary.zip
Ejecute la herramienta como raíz para generar el paquete de diagnóstico:
sudo ./MDESupportTool -d
Ejecución del analizador de cliente basado en Python
Nota:
El analizador depende de algunos paquetes PIP adicionales (sh, distro, lxml, pandas) que se instalan en el sistema operativo cuando están en la raíz para generar la salida del resultado. Si no está instalado, el analizador intentará capturarlo del repositorio oficial de paquetes de Python.
Advertencia
La ejecución del analizador de cliente basado en Python requiere la instalación de paquetes PIP, lo que puede causar algunos problemas en el entorno. Para evitar que se produzcan problemas, se recomienda instalar los paquetes en un entorno PIP de usuario.
Además, la herramienta requiere actualmente la versión 3 o posterior de Python para instalarse.
Si el dispositivo está detrás de un proxy, simplemente puede pasar el servidor proxy como variable de entorno al script de mde_support_tool.sh. Por ejemplo: .
https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
Descargue la herramienta XMDE Client Analyzer en la máquina macOS o Linux que necesita investigar.
Si usa un terminal, descargue la herramienta ejecutando el siguiente comando:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzerComprobación de la descarga
- Linux
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c- macOS
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | shasum -a 256 -cExtraiga el contenido de XMDEClientAnalyzer.zip en el equipo.
Si usa un terminal, extraiga los archivos mediante el siguiente comando:unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzerCambie el directorio a la ubicación extraída.
cd XMDEClientAnalyzerConceda al ejecutable de la herramienta permiso:
chmod a+x mde_support_tool.shEjecute como un usuario no raíz para instalar las dependencias necesarias:
./mde_support_tool.shPara recopilar el paquete de diagnóstico real y generar el archivo de archivo de resultados, vuelva a ejecutarse como raíz:
sudo ./mde_support_tool.sh -d
Opciones de línea de comandos
Líneas de comandos principales
Use el siguiente comando para obtener el diagnóstico de la máquina.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Ejemplo de uso: sudo ./MDESupportTool -d
Argumentos posicionales
Recopilación de información de rendimiento
Recopile un amplio seguimiento del rendimiento de la máquina para analizar un escenario de rendimiento que se pueda reproducir a petición.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Ejemplo de uso: sudo ./MDESupportTool performance --frequency 2
Uso del seguimiento del sistema operativo (solo para macOS)
Use las instalaciones de seguimiento del sistema operativo para registrar seguimientos de rendimiento de Defender para punto de conexión.
Nota:
Esta funcionalidad solo existe en la solución de Python.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
Al ejecutar este comando por primera vez, instala una configuración de perfil.
Siga este procedimiento para aprobar la instalación del perfil: Guía de soporte técnico de Apple.
Ejemplo de uso ./mde_support_tool.sh trace --length 5
Modo de exclusión
Agregue exclusiones para la supervisión de auditoría.
Nota:
Esta funcionalidad solo existe para Linux.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Ejemplo de uso: sudo ./MDESupportTool exclude -d /var/foo/bar
Limitador de velocidad auditada
Sintaxis que se puede usar para limitar el número de eventos notificados por el complemento auditD. Esta opción establece el límite de velocidad globalmente para AuditD, lo que provoca una caída en todos los eventos de auditoría. Cuando el limitador está habilitado, el número de eventos auditados se limita a 2500 eventos por segundo. Esta opción se puede usar en los casos en los que se ve un uso elevado de CPU del lado AuditD.
Nota:
Esta funcionalidad solo existe para Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Ejemplo de uso: sudo ./mde_support_tool.sh ratelimit -e true
Nota:
Esta funcionalidad debe usarse cuidadosamente, ya que limita el número de eventos notificados por el subsistema auditado en su conjunto. Esto también podría reducir el número de eventos para otros suscriptores.
AuditD Skip Faulty Rules
Esta opción permite omitir las reglas erróneas agregadas en el archivo de reglas auditadas al cargarlas. Esta opción permite que el subsistema auditado continúe cargando reglas incluso si hay una regla errónea. Esta opción resume los resultados de la carga de las reglas. En segundo plano, esta opción ejecuta auditctl con la opción -c.
Nota:
Esta funcionalidad solo está disponible en Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Ejemplo de uso: sudo ./mde_support_tool.sh skipfaultyrules -e true
Nota:
Esta funcionalidad omitirá las reglas erróneas. La regla defectuosa debe identificarse y corregirse aún más.
Contenido del paquete de resultados en macOS y Linux
report.html
Descripción: el archivo de salida HTML principal que contiene los resultados y las instrucciones que puede generar el script del analizador en la máquina.
mde_diagnostic.zip
Descripción: la misma salida de diagnóstico que se genera al ejecutar mdatp diagnostic create en macOS o Linux.
mde.xml
Descripción: salida XML que se genera durante la ejecución y se usa para compilar el archivo de informe html.
Processes_information.txt
Descripción: contiene los detalles de la ejecución Microsoft Defender para punto de conexión procesos relacionados en el sistema.
Log.txt
Descripción: contiene los mismos mensajes de registro escritos en pantalla durante la recopilación de datos.
Health.txt
Descripción: la misma salida de estado básico que se muestra al ejecutar el comando de mantenimiento mdatp .
Events.xml
Descripción: archivo XML adicional que usa el analizador al compilar el informe HTML.
Audited_info.txt
Descripción: detalles sobre el servicio auditado y los componentes relacionados para el sistema operativo Linux .
perf_benchmark.tar.gz
Descripción: los informes de pruebas de rendimiento. Solo verá esto si usa el parámetro de rendimiento.
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de