Compartir a través de

Ejecutar el analizador de clientes en macOS o Linux

  • Artículo

XMDEClientAnalyzer se usa para diagnosticar Microsoft Defender para punto de conexión problemas de mantenimiento o confiabilidad en dispositivos incorporados que ejecutan Linux o macOS.

Hay dos maneras de ejecutar la herramienta de analizador de cliente:

  1. Uso de una versión binaria (sin dependencia externa de Python)
  2. Uso de una solución basada en Python

Ejecución de la versión binaria del analizador de cliente

  1. Descargue la herramienta binaria XMDE Client Analyzer en la máquina macOS o Linux que necesita investigar.
    Si usa un terminal, descargue la herramienta escribiendo el siguiente comando:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary

  2. Compruebe la descarga.

    • Linux
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
    • macOS
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c

  3. Extraiga el contenido de XMDEClientAnalyzerBinary.zip en el equipo.

    Si usa un terminal, extraiga los archivos escribiendo el siguiente comando:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  4. Para cambiar al directorio de la herramienta, escriba el siguiente comando:

    cd XMDEClientAnalyzerBinary

  5. Se generan dos nuevos archivos ZIP:

    • SupportToolLinuxBinary.zip : para todos los dispositivos Linux
    • SupportToolMacOSBinary.zip : para dispositivos Mac

  6. Descomprima uno de los dos archivos ZIP anteriores en función de la máquina que necesite investigar.

    Al usar un terminal, descomprima el archivo escribiendo uno de los siguientes comandos en función del tipo de sistema operativo:

    • Linux

      unzip -q SupportToolLinuxBinary.zip

    • Mac

      unzip -q SupportToolMacOSBinary.zip

  7. Ejecute la herramienta como raíz para generar el paquete de diagnóstico:

    sudo ./MDESupportTool -d

Ejecución del analizador de cliente basado en Python

Nota:

  • El analizador depende de algunos paquetes PIP adicionales (decorator, sh, distro, lxmly psutil) que se instalan en el sistema operativo cuando están en la raíz para generar la salida del resultado. Si no está instalado, el analizador intenta capturarlo del repositorio oficial de paquetes de Python.
  • Además, la herramienta requiere actualmente la versión 3 de Python o posterior para instalarse en el dispositivo.
  • Si el dispositivo está detrás de un proxy, simplemente puede pasar el servidor proxy como variable de entorno al mde_support_tool.sh script. Por ejemplo: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Advertencia

La ejecución del analizador de cliente basado en Python requiere la instalación de paquetes PIP, lo que puede causar algunos problemas en el entorno. Para evitar que se produzcan problemas, se recomienda instalar los paquetes en un entorno PIP de usuario.

  1. Descargue la herramienta XMDE Client Analyzer en la máquina macOS o Linux que necesita investigar.

    Si usa un terminal, descargue la herramienta ejecutando el siguiente comando:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer

  2. Comprobación de la descarga

    • Linux
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
    • macOS
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11  XMDEClientAnalyzer.zip' | shasum -a 256 -c

  3. Extraiga el contenido de XMDEClientAnalyzer.zip en el equipo. Si usa un terminal, extraiga los archivos mediante el siguiente comando:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer

  4. Cambie el directorio a la ubicación extraída.

    cd XMDEClientAnalyzer

  5. Conceda al ejecutable de la herramienta permiso:

    chmod a+x mde_support_tool.sh

  6. Ejecute como un usuario no raíz para instalar las dependencias necesarias:

    ./mde_support_tool.sh

  7. Para recopilar el paquete de diagnóstico real y generar el archivo de archivo de resultados, vuelva a ejecutarse como raíz:

    sudo ./mde_support_tool.sh -d

Opciones de línea de comandos

Líneas de comandos principales

Use el siguiente comando para obtener el diagnóstico de la máquina.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Ejemplo de uso: sudo ./MDESupportTool -d

NOTA: La característica de restablecimiento automático de nivel de registro solo está disponible en la versión de cliente 2405 o más reciente.

Argumentos posicionales

Recopilación de información de rendimiento

Recopile un amplio seguimiento del rendimiento de la máquina para analizar un escenario de rendimiento que se pueda reproducir a petición.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Ejemplo de uso: sudo ./MDESupportTool performance --frequency 2

Uso del seguimiento del sistema operativo (solo para macOS)

Use las instalaciones de seguimiento del sistema operativo para registrar seguimientos de rendimiento de Defender para punto de conexión.

Nota:

Esta funcionalidad solo existe en la solución de Python.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Al ejecutar este comando por primera vez, instala una configuración de perfil.

Siga este procedimiento para aprobar la instalación del perfil: Guía de soporte técnico de Apple.

Ejemplo de uso ./mde_support_tool.sh trace --length 5

Modo de exclusión

Agregue exclusiones para la supervisión de auditoría.

Nota:

Esta funcionalidad solo existe para Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Ejemplo de uso: sudo ./MDESupportTool exclude -d /var/foo/bar

Limitador de velocidad auditada

Sintaxis que se puede usar para limitar el número de eventos notificados por el complemento auditD. Esta opción establece el límite de velocidad globalmente para AuditD, lo que provoca una caída en todos los eventos de auditoría. Cuando el limitador está habilitado, el número de eventos auditados se limita a 2500 eventos por segundo. Esta opción se puede usar en los casos en los que se ve un uso elevado de CPU del lado AuditD.

Nota:

Esta funcionalidad solo existe para Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Ejemplo de uso: sudo ./mde_support_tool.sh ratelimit -e true

Nota:

Esta funcionalidad debe usarse cuidadosamente, ya que limita el número de eventos notificados por el subsistema auditado en su conjunto. Esto también podría reducir el número de eventos para otros suscriptores.

AuditD Skip Faulty Rules

Esta opción permite omitir las reglas erróneas agregadas en el archivo de reglas auditadas al cargarlas. Esta opción permite que el subsistema auditado continúe cargando reglas incluso si hay una regla errónea. Esta opción resume los resultados de la carga de las reglas. En segundo plano, esta opción ejecuta auditctl con la opción -c.

Nota:

Esta funcionalidad solo está disponible en Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Ejemplo de uso: sudo ./mde_support_tool.sh skipfaultyrules -e true

Nota:

Esta funcionalidad omitirá las reglas erróneas. La regla defectuosa debe identificarse y corregirse aún más.

Contenido del paquete de resultados en macOS y Linux

  • report.html

    Descripción: el archivo de salida HTML principal que contiene los resultados y las instrucciones de la ejecución de la herramienta de analizador de cliente en el dispositivo. Este archivo solo se genera cuando se ejecuta la versión basada en Python de la herramienta del analizador de cliente.

  • mde_diagnostic.zip

    Descripción: la misma salida de diagnóstico que se genera al ejecutar mdatp diagnostic create en macOS o Linux.

  • mde.xml

    Descripción: salida XML que se genera durante la ejecución y se usa para compilar el archivo de informe html.

  • Processes_information.txt

    Descripción: contiene los detalles de la ejecución Microsoft Defender para punto de conexión procesos relacionados en el sistema.

  • Log.txt

    Descripción: contiene los mismos mensajes de registro escritos en pantalla durante la recopilación de datos.

  • Health.txt

    Descripción: la misma salida de estado básico que se muestra al ejecutar el comando de mantenimiento mdatp .

  • Events.xml

    Descripción: archivo XML adicional que usa el analizador al compilar el informe HTML.

  • Audited_info.txt

    Descripción: detalles sobre el servicio auditado y los componentes relacionados para el sistema operativo Linux .

  • perf_benchmark.tar.gz

    Descripción: los informes de pruebas de rendimiento. Solo verá esto si usa el parámetro de rendimiento.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.