Ejecutar el analizador de clientes en macOS o Linux
Se aplica a:
XMDEClientAnalyzer se usa para diagnosticar problemas de estado o confiabilidad de Microsoft Defender para punto de conexión en dispositivos incorporados que ejecutan Linux o macOS.
Hay dos maneras de ejecutar la herramienta de analizador de cliente:
- Uso de una versión binaria (sin dependencia de Python)
- Uso de una solución basada en Python
Ejecución de la versión binaria del analizador de cliente
Descargue la herramienta binaria XMDE Client Analyzer en la máquina macOS o Linux que necesita investigar.
Si usa un terminal, descargue la herramienta escribiendo el siguiente comando:wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
Compruebe la descarga.
Nota:
El hash SHA256 actual de "XMDEClientAnalyzerBinary.zip" que se descarga de este vínculo es: "6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF"
- Linux
echo '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF XMDEClientAnalyzerBinary.zip' | sha256sum -c
- macOS
echo '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
Extraiga el contenido de XMDEClientAnalyzerBinary.zip en el equipo.
Si usa un terminal, extraiga los archivos escribiendo el siguiente comando:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
Para cambiar al directorio de la herramienta, escriba el siguiente comando:
cd XMDEClientAnalyzerBinary
Se generan tres nuevos archivos ZIP:
- SupportToolLinuxBinary.zip : para todos los dispositivos Linux
- SupportToolMacOSBinary.zip : para dispositivos Mac
Descomprima uno de los dos archivos ZIP anteriores en función de la máquina que necesite investigar.
Al usar un terminal, descomprima el archivo escribiendo uno de los siguientes comandos en función del tipo de sistema operativo:Linux
unzip -q SupportToolLinuxBinary.zip
Mac
unzip -q SupportToolMacOSBinary.zip
Ejecute la herramienta como raíz para generar el paquete de diagnóstico:
sudo ./MDESupportTool -d
Ejecución del analizador de cliente basado en Python
Nota:
El analizador depende de algunos paquetes PIP adicionales (sh, distro, lxml, pandas) que se instalan en el sistema operativo cuando están en la raíz para generar la salida del resultado. Si no está instalado, el analizador intentará capturarlo del repositorio oficial de paquetes de Python.
Advertencia
La ejecución del analizador de cliente basado en Python requiere la instalación de paquetes PIP, lo que puede causar algunos problemas en el entorno. Para evitar que se produzcan problemas, se recomienda instalar los paquetes en un entorno PIP de usuario.
Además, la herramienta requiere actualmente la versión 3 o posterior de Python para instalarse.
Si el dispositivo está detrás de un proxy, simplemente puede pasar el servidor proxy como variable de entorno al script de mde_support_tool.sh. Por ejemplo:.
https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
Descargue la herramienta XMDE Client Analyzer en la máquina macOS o Linux que necesita investigar.
Si usa un terminal, descargue la herramienta ejecutando el siguiente comando:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
Comprobación de la descarga
- Linux
echo '799D1C8B24FB826283B9B04B4B503AE3C99A05FE7ADFE25A78A094E231572C4A XMDEClientAnalyzer.zip' | sha256sum -c
- macOS
echo '799D1C8B24FB826283B9B04B4B503AE3C99A05FE7ADFE25A78A094E231572C4A XMDEClientAnalyzer.zip' | shasum -a 256 -c
Extraiga el contenido de XMDEClientAnalyzer.zip en el equipo. Si usa un terminal, extraiga los archivos mediante el siguiente comando:
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
Cambie el directorio a la ubicación extraída.
cd XMDEClientAnalyzer
Conceda al ejecutable de la herramienta permiso:
chmod a+x mde_support_tool.sh
Ejecute como un usuario no raíz para instalar las dependencias necesarias:
./mde_support_tool.sh
Para recopilar el paquete de diagnóstico real y generar el archivo de archivo de resultados, vuelva a ejecutarse como raíz:
sudo ./mde_support_tool.sh -d
Opciones de línea de comandos
Líneas de comandos principales
Use el siguiente comando para obtener el diagnóstico de la máquina.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--interactive, -i Interactive diagnostic
--delay DELAY, -dd DELAY
Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Ejemplo de uso: sudo ./MDESupportTool -d
NOTA: La característica de restablecimiento automático de nivel de registro solo está disponible en la versión de cliente 2405 o más reciente.
Argumentos posicionales
Recopilación de información de rendimiento
Recopile un amplio seguimiento del rendimiento de la máquina para analizar un escenario de rendimiento que se pueda reproducir a petición.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Ejemplo de uso: sudo ./MDESupportTool performance --frequency 2
Uso del seguimiento del sistema operativo (solo para macOS)
Use las instalaciones de seguimiento del sistema operativo para registrar seguimientos de rendimiento de Defender para punto de conexión.
Nota:
Esta funcionalidad solo existe en la solución de Python.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
Al ejecutar este comando por primera vez, instala una configuración de perfil.
Siga este procedimiento para aprobar la instalación del perfil: Guía de soporte técnico de Apple.
Ejemplo de uso ./mde_support_tool.sh trace --length 5
Modo de exclusión
Agregue exclusiones para la supervisión de auditoría.
Nota:
Esta funcionalidad solo existe para Linux.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Ejemplo de uso: sudo ./MDESupportTool exclude -d /var/foo/bar
Limitador de velocidad auditada
Sintaxis que se puede usar para limitar el número de eventos notificados por el complemento auditD. Esta opción establece el límite de velocidad globalmente para AuditD, lo que provoca una caída en todos los eventos de auditoría. Cuando el limitador está habilitado, el número de eventos auditados se limita a 2500 eventos por segundo. Esta opción se puede usar en los casos en los que se ve un uso elevado de CPU del lado AuditD.
Nota:
Esta funcionalidad solo existe para Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Ejemplo de uso: sudo ./mde_support_tool.sh ratelimit -e true
Nota:
Esta funcionalidad debe usarse cuidadosamente, ya que limita el número de eventos notificados por el subsistema auditado en su conjunto. Esto también podría reducir el número de eventos para otros suscriptores.
AuditD Skip Faulty Rules
Esta opción permite omitir las reglas erróneas agregadas en el archivo de reglas auditadas al cargarlas. Esta opción permite que el subsistema auditado continúe cargando reglas incluso si hay una regla errónea. Esta opción resume los resultados de la carga de las reglas. En segundo plano, esta opción ejecuta auditctl con la opción -c.
Nota:
Esta funcionalidad solo está disponible en Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Ejemplo de uso: sudo ./mde_support_tool.sh skipfaultyrules -e true
Nota:
Esta funcionalidad omitirá las reglas erróneas. La regla defectuosa debe identificarse y corregirse aún más.
Contenido del paquete de resultados en macOS y Linux
report.html
Descripción: el archivo de salida HTML principal que contiene los resultados y las instrucciones de la ejecución de la herramienta de analizador de cliente en el dispositivo. Este archivo solo se genera cuando se ejecuta la versión basada en Python de la herramienta del analizador de cliente.
mde_diagnostic.zip
Descripción: la misma salida de diagnóstico que se genera al ejecutar mdatp diagnostic create en macOS o Linux.
mde.xml
Descripción: salida XML que se genera durante la ejecución y se usa para compilar el archivo de informe html.
Processes_information.txt
Descripción: contiene los detalles de los procesos relacionados con Microsoft Defender para punto de conexión en ejecución en el sistema.
Log.txt
Descripción: contiene los mismos mensajes de registro escritos en pantalla durante la recopilación de datos.
Health.txt
Descripción: la misma salida de estado básico que se muestra al ejecutar el comando de mantenimiento mdatp .
Events.xml
Descripción: archivo XML adicional que usa el analizador al compilar el informe HTML.
Audited_info.txt
Descripción: detalles sobre el servicio auditado y los componentes relacionados para el sistema operativo Linux .
perf_benchmark.tar.gz
Descripción: los informes de pruebas de rendimiento. Solo verá esto si usa el parámetro de rendimiento.
Sugerencia
¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de