הפעל את מנתח הלקוח ב- macOS וב- Linux
חל על:
XMDEClientAnalyzer משמש לאבחון בעיות תקינות או מהימנות של Microsoft Defender עבור נקודות קצה במכשירים מחוברים שבהם פועל Linux או macOS.
קיימות שתי דרכים להפעלת כלי מנתח הלקוח:
- שימוש בגירסה בינארית (ללא תלות ב- Python)
- שימוש בפתרון מבוסס Python
הפעלת הגירסה הבינארית של מנתח הלקוח
הורד את הכלי הבינארי של XMDE Client Analyzer למחשב macOS או Linux שעליך לחקור.
אם אתה משתמש במסוף, הורד את הכלי על-ידי הזנת הפקודה הבאה:wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
אמת את ההורדה.
הערה
קוד ה- Hash הנוכחי של SHA256 של 'XMDEClientAnalyzerBinary.zip' שהורד מקישור זה הוא: '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF'
- לינוקס (Linux)
echo '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF XMDEClientAnalyzerBinary.zip' | sha256sum -c
- macOS
echo '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
חלץ את תוכןXMDEClientAnalyzerBinary.zip במחשב.
אם אתה משתמש במסוף, חלץ את הקבצים על-ידי הזנת הפקודה הבאה:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
שנה למדריך הכתובות של הכלי על-ידי הזנת הפקודה הבאה:
cd XMDEClientAnalyzerBinary
שלושה קבצי zip חדשים מופקים:
- SupportToolLinuxBinary.zip : עבור כל מכשירי Linux
- SupportToolMacOSBinary.zip : עבור מכשירי Mac
בטל את דחיסת אחד מ- 2 קבצי הדחיסה שלעיל בהתבסס על המחשב שעליך לחקור.
בעת שימוש במסוף, בטל את דחיסת הקובץ על-ידי הזנת אחת מהפקודות הבאות בהתבסס על סוג מערכת ההפעלה:לינוקס (Linux)
unzip -q SupportToolLinuxBinary.zip
Mac
unzip -q SupportToolMacOSBinary.zip
הפעל את הכלי כבסיס כדי ליצור חבילת אבחון:
sudo ./MDESupportTool -d
הפעלת מנתח הלקוחות המבוסס על Python
הערה
המנתח תלוי בכמה חבילות PIP נוספות (sh, distro, lxml, pandas) המותקנות ב- OS כאשר הן בבסיס כדי להפיק את פלט התוצאה. אם לא מותקן, המנתח ינסה להביא אותו מהמאגר הרשמי עבור חבילות Python.
אזהרה
הפעלת מנתח הלקוחות המבוסס על Python דורשת התקנה של חבילות PIP שעשויות לגרום לבעיות מסוימות בסביבה שלך. כדי למנוע בעיות שמתרחשות, מומלץ להתקין את החבילות בסביבה של משתמש PIP.
בנוסף, הכלי דורש כעת התקנה של Python גירסה 3 ואילך.
אם המכשיר שלך נמצא מאחורי Proxy, תוכל פשוט להעביר את שרת ה- Proxy כמשתנה סביבה ל- mde_support_tool.sh Script. לדוגמה:.
https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
הורד את הכלי XMDE Client Analyzer למחשב macOS או Linux שעליך לחקור.
אם אתה משתמש במסוף, הורד את הכלי על-ידי הפעלת הפקודה הבאה:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
אמת את ההורדה
- לינוקס (Linux)
echo '799D1C8B24FB826283B9B04B4B503AE3C99A05FE7ADFE25A78A094E231572C4A XMDEClientAnalyzer.zip' | sha256sum -c
- macOS
echo '799D1C8B24FB826283B9B04B4B503AE3C99A05FE7ADFE25A78A094E231572C4A XMDEClientAnalyzer.zip' | shasum -a 256 -c
חלץ את תוכן XMDEClientAnalyzer.zip במחשב. אם אתה משתמש במסוף, חלץ את הקבצים באמצעות הפקודה הבאה:
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
שנה את הספריה למיקום שחולץ.
cd XMDEClientAnalyzer
הענק לכלי הרשאת הפעלה:
chmod a+x mde_support_tool.sh
הפעל כמשתמש שאינו משתמש בסיס כדי להתקין יחסי תלות נדרשים:
./mde_support_tool.sh
כדי לאסוף חבילת אבחון בפועל וליצור את קובץ הארכיון של התוצאות, הפעל שוב כבסיס:
sudo ./mde_support_tool.sh -d
אפשרויות שורת פקודה
שורות פקודה ראשיות
השתמש בפקודה הבאה כדי לקבל את אבחון המחשב.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--interactive, -i Interactive diagnostic
--delay DELAY, -dd DELAY
Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
דוגמה לשימוש: sudo ./MDESupportTool -d
הערה: תכונת האיפוס האוטומטי ברמת יומן הרישום זמינה רק בגירסת לקוח 2405 או בגירסת לקוח חדשה יותר.
ארגומנטים של מיקום
איסוף פרטי ביצועים
אסוף מעקב נרחב אחר ביצועי מכונה לצורך ניתוח של תרחיש ביצועים שניתן לשכפל לפי דרישה.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
דוגמה לשימוש: sudo ./MDESupportTool performance --frequency 2
השתמש במעקב של מערכת ההפעלה (עבור macOS בלבד)
השתמש במעקב של מערכת ההפעלה כדי לתעד מעקבי ביצועים של Defender for Endpoint.
הערה
פונקציונליות זו קיימת בפתרון Python בלבד.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
בעת הפעלת פקודה זו בפעם הראשונה, היא מתקינים תצורת פרופיל.
בצע את הפעולות הבאות כדי לאשר התקנת פרופיל: מדריך התמיכה של Apple.
דוגמה לשימוש ./mde_support_tool.sh trace --length 5
מצב אי-כלילה
הוסף פריטים שאינם נכללים עבור ניטור audit-d.
הערה
פונקציונליות זו קיימת עבור Linux בלבד.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
דוגמה לשימוש: sudo ./MDESupportTool exclude -d /var/foo/bar
מגביל תעריף מ ביקורת
תחביר שניתן להשתמש בו כדי להגביל את מספר האירועים שדווחו על-ידי התוסף auditD. אפשרות זו מגדירה את מגבלת התעריף באופן כללי עבור AuditD וגורמת לתקלה בכל אירועי הביקורת. כאשר המגבלה זמין, מספר האירועים המ ביקורת מוגבל ל- 2500 אירועים/שנ'. ניתן להשתמש באפשרות זו במקרים שבהם אנו רואים שימוש גבוה ב- CPU מצד ביקורת.
הערה
פונקציונליות זו קיימת עבור Linux בלבד.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
דוגמה לשימוש: sudo ./mde_support_tool.sh ratelimit -e true
הערה
יש להשתמש בפונקציונליות זו בקפידה כמגבלות מספר האירועים שדווחו על-ידי מערכת המשנה המדווחת כולה. פעולה זו עשויה להפחית את מספר האירועים גם עבור מנויים אחרים.
כללי דלג על תקלות מביקורת
אפשרות זו מאפשרת לך לדלג על הכללים התקלים שנוספו בקובץ הכללים המנוהלים בעת טעינתם. אפשרות זו מאפשרת מערכת המשנה המאודית להמשיך לטעון כללים גם אם קיים כלל לא רציף. אפשרות זו מסכמת את התוצאות של טעינת הכללים. ברקע, אפשרות זו מפעילה את הביקורת עם האפשרות -c.
הערה
פונקציונליות זו זמינה רק ב- Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
דוגמה לשימוש: sudo ./mde_support_tool.sh skipfaultyrules -e true
הערה
פונקציונליות זו תדלג על הכללים התקלים. לאחר מכן יש לזהות ולתקן את הכלל הפגם.
תוכן חבילת תוצאות ב- macOS וב- Linux
report.html
תיאור: קובץ הפלט הראשי של HTML המכיל את הממצאים וההדרכה מהפעלת הכלי מנתח הלקוח במכשיר. קובץ זה נוצר רק בעת הפעלת הגירסה מבוססת Python של הכלי מנתח הלקוח.
mde_diagnostic.zip
תיאור: אותו פלט אבחון שנוצר בעת הפעלת יצירת אבחון mdatp ב- macOS אוב- Linux.
mde.xml
תיאור: פלט XML שנוצר בעת ההפעלה ומשמש לבניית קובץ דוח ה- HTML.
Processes_information.txt
תיאור: מכיל את הפרטים של התהליכים הקשורים הפועלים של Microsoft Defender for Endpoint במערכת.
Log.txt
תיאור: מכיל את אותן הודעות יומן רישום שנכתבו על המסך במהלך איסוף הנתונים.
Health.txt
תיאור: אותו פלט תקינות בסיסי שמוצג בעת הפעלת הפקודה תקינות mdatp .
Events.xml
תיאור: קובץ XML נוסף המשמש את המנתח בעת בניית דוח HTML.
Audited_info.txt
תיאור: פרטים על שירות מביקורת ורכיבים קשורים עבור מערכת ההפעלה Linux .
perf_benchmark.tar.gz
תיאור: דוחות בדיקת הביצועים. תראה זאת רק אם אתה משתמש בפרמטר הביצועים.
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור