Asiakasanalysaattorin suorittaminen macOS:ssä ja Linuxissa
Koskee seuraavia:
XMDEClientAnalyzeria käytetään Microsoft Defender for Endpointin kunto- tai luotettavuusongelmien vianmääritykseen joko Linux- tai macOS-laitteissa.
Voit suorittaa asiakasanalysointityökalun kahdella tavalla:
- Binaariversion käyttäminen (ei Python-riippuvuutta)
- Python-pohjaisen ratkaisun käyttäminen
Suoritetaan asiakasanalysaattorin binaariversiota
Lataa XMDE Client Analyzer Binary -työkalu macOS- tai Linux-koneeseen, jota sinun on tutkittava.
Jos käytät päätettä, lataa työkalu antamalla seuraava komento:wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
Tarkista lataus.
Huomautus
Nykyisestä linkistä ladatun XMDEClientAnalyzerBinary.zip SHA256-hajautusarvo on: '51EC534507729D3A5056D596644FE5768BF1CCED266C8AC514CFCF11A6F12B97'
- Linux
echo '51EC534507729D3A5056D596644FE5768BF1CCED266C8AC514CFCF11A6F12B97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
- macOS
echo '51EC534507729D3A5056D596644FE5768BF1CCED266C8AC514CFCF11A6F12B97 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
Pura XMDEClientAnalyzerBinary.zip sisältö laitteessa.
Jos käytät päätettä, pura tiedostot antamalla seuraava komento:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
Vaihda työkalun hakemistoon antamalla seuraava komento:
cd XMDEClientAnalyzerBinary
Kolme uutta zip-tiedostoa on luotu:
- SupportToolLinuxBinary.zip : Kaikille Linux-laitteille
- SupportToolMacOSBinary.zip : Mac-laitteille
Pura yksi yllä olevista 2 zip-tiedostosta sen laitteen perusteella, jota sinun on tutkittava.
Kun käytät päätettä, pura tiedosto antamalla jokin seuraavista käyttöjärjestelmätyyppiin perustuvista komennoista:Linux
unzip -q SupportToolLinuxBinary.zip
Mac
unzip -q SupportToolMacOSBinary.zip
Luo diagnostiikkapaketti suorittamalla työkalu päätasona :
sudo ./MDESupportTool -d
Python-pohjaisen asiakasanalysaattorin suorittaminen
Huomautus
Analyzer on riippuvainen muutamasta ylimääräisestä PIP-paketista (sh, distro, lxml, pandas), jotka asennetaan käyttöjärjestelmään pääkansiossa tulostuloksen tuottamiseksi. Jos sitä ei ole asennettu, analysoija yrittää noutaa sen Python-pakettien virallisesta säilöstä.
Varoitus
Python-pohjaisen asiakasanalysaattorin suorittaminen edellyttää PIP-pakettien asentamista, mikä voi aiheuttaa ongelmia ympäristössäsi. Ongelmien välttämiseksi on suositeltavaa asentaa paketit käyttäjän PIP-ympäristöön.
Lisäksi työkalu edellyttää, että asennettuna on python-versio 3 tai uudempi versio.
Jos laite on välityspalvelimen takana, voit välittää välityspalvelimen ympäristömuuttujana mde_support_tool.sh komentosarjaan. Esimerkiksi:.
https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
Lataa XMDE Client Analyzer - työkalu macOS- tai Linux-koneeseen, jota sinun on tutkittava.
Jos käytät päätettä, lataa työkalu suorittamalla seuraava komento:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
Tarkista lataus
- Linux
echo '2B8EBB39857BA24E84E332366B42E041B46AB130F8C8FD4E6D68B195022FD61E XMDEClientAnalyzer.zip' | sha256sum -c
- macOS
echo '2B8EBB39857BA24E84E332366B42E041B46AB130F8C8FD4E6D68B195022FD61E XMDEClientAnalyzer.zip' | shasum -a 256 -c
Pura XMDEClientAnalyzer.zip sisältö laitteessa. Jos käytät päätetiedostoa, pura tiedostot seuraavalla komennolla:
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
Vaihda hakemisto purettuun sijaintiin.
cd XMDEClientAnalyzer
Anna työkalun suoritusoikeudet:
chmod a+x mde_support_tool.sh
Asenna tarvittavat riippuvuudet suorittamalla muu kuin pääkäyttäjä:
./mde_support_tool.sh
Jos haluat kerätä todellisen diagnostiikkapaketin ja luoda tulosarkistotiedoston, suorita uudelleen pääkansiona:
sudo ./mde_support_tool.sh -d
Komentorivin asetukset
Ensisijaiset komentorivit
Hae tietokoneen diagnostiikka käyttämällä seuraavaa komentoa.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--interactive, -i Interactive diagnostic
--delay DELAY, -dd DELAY
Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Käyttöesimerkki: sudo ./MDESupportTool -d
HUOMAUTUS: Lokitason automaattisen palautuksen ominaisuus on käytettävissä vain 2405:ssä tai uudemman asiakasversion versiossa.
Positionaaliset argumentit
Kerää suorituskykytietoja
Kerää laaja koneen suorituskyvyn seuranta, jotta voidaan analysoida suorituskykyskenaariota, joka voidaan toistaa pyydettäessä.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Käyttöesimerkki: sudo ./MDESupportTool performance --frequency 2
Käytä käyttöjärjestelmän jäljitystä (vain macOS:lle)
Käytä käyttöjärjestelmän jäljitystiloja Defenderin tallentamiseen päätepisteen suorituskyvyn jäljitystä varten.
Huomautus
Tämä toiminto on olemassa vain Python-ratkaisussa.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
Kun tämä komento suoritetaan ensimmäistä kertaa, se asentaa profiilimäärityksen.
Hyväksy profiilin asennus seuraavasti: Applen tukiopas.
Käyttöesimerkki ./mde_support_tool.sh trace --length 5
Pois jätettävien tila
Lisää poissulkemisia valvonnan valvontaa varten.
Huomautus
Tämä toiminto on olemassa vain Linuxissa.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Käyttöesimerkki: sudo ./MDESupportTool exclude -d /var/foo/bar
AuditD Rate Limiter
Syntaksi, jonka avulla voidaan rajoittaa auditD-laajennuksen raportoimien tapahtumien määrää. Tämä asetus määrittää AuditD:n nopeusrajoituksen maailmanlaajuisesti, jolloin kaikki valvontatapahtumat laskevat. Kun rajoitin on käytössä, valvottavien tapahtumien määrä on rajoitettu 2500 tapahtumaan sekunnissa. Tätä vaihtoehtoa voidaan käyttää tapauksissa, joissa AuditD-puolelta tulee näkyviin suuri suoritinkäyttö.
Huomautus
Tämä toiminto on olemassa vain Linuxissa.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Käyttöesimerkki: sudo ./mde_support_tool.sh ratelimit -e true
Huomautus
Tätä toimintoa tulee käyttää huolellisesti rajoittamaan valvotun alijärjestelmän raportoimien tapahtumien määrää kokonaisuutena. Tämä voi vähentää myös muiden tilaajien tapahtumien määrää.
AuditD Skip Vialliset säännöt
Tämän asetuksen avulla voit ohittaa valvotut säännöt -tiedostoon lisätyt vialliset säännöt niiden lataamisen aikana. Tämän asetuksen avulla valvottu alijärjestelmä voi jatkaa sääntöjen lataamista, vaikka sääntö olisi virheellinen. Tämä asetus tekee yhteenvedon sääntöjen lataamisen tuloksista. Taustalla tämä vaihtoehto suorittaa auditctl-komennon -c-vaihtoehdon kanssa.
Huomautus
Tämä toiminto on käytettävissä vain Linuxissa.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Käyttöesimerkki: sudo ./mde_support_tool.sh skipfaultyrules -e true
Huomautus
Tämä toiminto ohittaa virheellisen säännön. Virheellinen sääntö on sitten tunnistettava ja korjattava tarkemmin.
Tulospaketin sisältö macOS:ssä ja Linuxissa
report.html
Kuvaus: Tärkein HTML-tulostetiedosto, joka sisältää havaintoja ja ohjeita, joita analysoijan komentosarja voi suorittaa laitteessa.
mde_diagnostic.zip
Kuvaus: Sama diagnostiikkatuloste, joka luodaan, kun mdatp-diagnostiikka luodaan joko macOS- tai Linux-käyttöjärjestelmissä.
mde.xml
Kuvaus: XML-tuloste, joka luodaan suorituksen aikana ja jota käytetään html-raporttitiedoston luomiseen.
Processes_information.txt
Kuvaus: sisältää järjestelmän käynnissä olevien Microsoft Defender for Endpoint -prosessien tiedot.
Log.txt
Kuvaus: sisältää samat lokiviestit, jotka kirjoitetaan näyttöön tietojen keräämisen aikana.
Health.txt
Kuvaus: Sama peruskuntotuloste, joka näytetään mdatp-kuntokomentoa suoritettaessa.
Events.xml
Kuvaus: Lisä-XML-tiedosto, jota analysoija käyttää HTML-raporttia luotaessa.
Audited_info.txt
Kuvaus: tietoja valvotun palvelun ja siihen liittyvien osien Linux-käyttöjärjestelmälle .
perf_benchmark.tar.gz
Kuvaus: Suorituskykytestiraportit. Näet tämän vain, jos käytät suorituskykyparametria.
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle