Del via


Ressurser

Gjelder for:

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Samle inn diagnoseinformasjon

Hvis du kan gjenskape et problem, må du først øke loggingsnivået, kjøre systemet en stund og deretter gjenopprette loggingsnivået til standard.

  1. Øk loggingsnivået:

    mdatp log level set --level debug
    
    Log level configured successfully
    
  2. Reprodusere problemet.

  3. Kjør følgende kommando for å sikkerhetskopiere Defender for endepunktlogger. Filene lagres i et .zip arkiv.

    sudo mdatp diagnostic create
    

    Denne kommandoen skriver også ut filbanen til sikkerhetskopien etter at operasjonen er fullført:

    Diagnostic file created: <path to file>
    
  4. Gjenopprett loggingsnivå:

    mdatp log level set --level info
    
    Log level configured successfully
    

Logginstallasjonsproblemer

Hvis det oppstår en feil under installasjonen, vil installasjonsprogrammet bare rapportere en generell feil.

Den detaljerte loggen lagres i /var/log/microsoft/mdatp/install.log. Hvis du opplever problemer under installasjonen, kan du sende oss denne filen, slik at vi kan hjelpe til med å diagnostisere årsaken.

Avinstallere Defender for endepunkt på Linux

Det finnes flere måter å avinstallere Defender for Endpoint på Linux på. Hvis du bruker et konfigurasjonsverktøy, for eksempel Marionett, følger du instruksjonene for avinstallasjon av pakken for konfigurasjonsverktøyet.

Manuell avinstallasjon

  • sudo yum remove mdatp for RHEL og varianter(CentOS og Oracle Linux).
  • sudo zypper remove mdatp for SLES og varianter.
  • sudo apt-get purge mdatp for Ubuntu- og Debian-systemer.
  • sudo dnf remove mdatp for Mariner

Konfigurer fra kommandolinjen

Viktige oppgaver, for eksempel kontroll av produktinnstillinger og utløsing av behovsbetingede skanninger, kan utføres fra kommandolinjen.

Globale alternativer

Som standard sender kommandolinjeverktøyet resultatet i lesbart format. I tillegg støtter verktøyet også utdata av resultatet som JSON, noe som er nyttig for automatiseringsscenarioer. Hvis du vil endre utdataene til JSON, sender --output json du til en av kommandoene nedenfor.

Kommandoer som støttes

Tabellen nedenfor viser kommandoer for noen av de vanligste scenariene. Kjør mdatp help fra terminalen for å vise den fullstendige listen over støttede kommandoer.



Gruppe Scenario Kommando
Konfigurasjon Aktiver/deaktiver sanntidsbeskyttelse mdatp config real-time-protection --value [enabled\|disabled]
Konfigurasjon Aktiver/deaktiver overvåking av virkemåte mdatp config behavior-monitoring --value [enabled\|disabled]
Konfigurasjon Aktiver/deaktiver skybeskyttelse mdatp config cloud --value [enabled\|disabled]
Konfigurasjon Aktivere/deaktivere produktdiagnose mdatp config cloud-diagnostic --value [enabled\|disabled]
Konfigurasjon Aktivere/deaktivere automatisk innsending av eksempel mdatp config cloud-automatic-sample-submission --value [enabled\|disabled]
Konfigurasjon Aktiver/deaktiver AV passiv modus mdatp config passive-mode --value [enabled\|disabled]
Konfigurasjon Legge til/ fjerne en antivirusutelukkelse for en filtype mdatp exclusion extension [add\|remove] --name [extension]
Konfigurasjon Legge til/ fjerne en antivirusutelukkelse for en fil mdatp exclusion file [add\|remove] --path [path-to-file]
Konfigurasjon Legge til/ fjerne en antivirusutelukkelse for en katalog mdatp exclusion folder [add\|remove] --path [path-to-directory]
Konfigurasjon Legge til / fjerne en antivirusutelukkelse for en prosess mdatp exclusion process [add\|remove] --path [path-to-process]

mdatp exclusion process [add\|remove] --name [process-name]

Konfigurasjon Vis alle antivirusutelukkelser mdatp exclusion list
Konfigurasjon Legge til et trusselnavn i den tillatte listen mdatp threat allowed add --name [threat-name]
Konfigurasjon Fjerne et trusselnavn fra den tillatte listen mdatp threat allowed remove --name [threat-name]
Konfigurasjon Vis alle tillatte trusselnavn mdatp threat allowed list
Konfigurasjon Slå på PUA-beskyttelse mdatp threat policy set --type potentially_unwanted_application --action block
Konfigurasjon Deaktiver PUA-beskyttelse mdatp threat policy set --type potentially_unwanted_application --action off
Konfigurasjon Slå på overvåkingsmodus for PUA-beskyttelse mdatp threat policy set --type potentially_unwanted_application --action audit
Konfigurasjon Konfigurer graden av parallellitet for behovsbetingede skanninger mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
Konfigurasjon Aktivere/deaktivere skanninger etter sikkerhetsanalyseoppdateringer mdatp config scan-after-definition-update --value [enabled/disabled]
Konfigurasjon Slå på/av arkivskanning (bare ved behov-skanning) mdatp config scan-archives --value [enabled/disabled]
Konfigurasjon Aktiver/deaktiver hash-kodebehandling for fil mdatp config enable-file-hash-computation --value [enabled/disabled]
Diagnostikk Endre loggnivået mdatp log level set --level verbose [error|warning|info|verbose]
Diagnostikk Generer diagnoselogger mdatp diagnostic create --path [directory]
Diagnostikk Størrelsesgrenser for produktlogger som beholdes mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB]
Tilstand Kontroller produktets tilstand mdatp health
Beskyttelse Skanne en bane mdatp scan custom --path [path] [--ignore-exclusions]
Beskyttelse Foreta en rask skanning mdatp scan quick
Beskyttelse Foreta en fullstendig skanning mdatp scan full
Beskyttelse Avbryte en pågående behovsbetinget skanning mdatp scan cancel
Beskyttelse Be om en oppdatering av sikkerhetsintelligens mdatp definitions update
Beskyttelseslogg Skrive ut den fullstendige beskyttelsesloggen mdatp threat list
Beskyttelseslogg Få trusseldetaljer mdatp threat get --id [threat-id]
Karanteneadministrasjon Vis alle filer som er satt i karantene mdatp threat quarantine list
Karanteneadministrasjon Fjerne alle filer fra karantene mdatp threat quarantine remove-all
Karanteneadministrasjon Legge til en fil som er oppdaget som en trussel mot karantene mdatp threat quarantine add --id [threat-id]
Karanteneadministrasjon Fjerne en fil som er oppdaget som en trussel fra karantene mdatp threat quarantine remove --id [threat-id]
Karanteneadministrasjon Gjenopprette en fil fra karantene. Tilgjengelig i Defender for Endpoint-versjon lavere enn 101.23092.0012. mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
Karanteneadministrasjon Gjenopprette en fil fra karantene med trussel-ID. Tilgjengelig i Defender for Endpoint versjon 101.23092.0012 eller nyere. mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder]
Karanteneadministrasjon Gjenopprett en fil fra karantene med opprinnelig trusselbane. Tilgjengelig i Defender for Endpoint versjon 101.23092.0012 eller nyere. mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
Gjenkjenning og svar for endepunkt Angi tidlig forhåndsvisning mdatp edr early-preview [enabled\|disabled]
Gjenkjenning og svar for endepunkt Angi gruppe-ID mdatp edr group-ids --group-id [group-id]
Gjenkjenning og svar for endepunkt Angi/fjerne kode, støttes bare GROUP mdatp edr tag set --name GROUP --value [tag]
Gjenkjenning og svar for endepunkt Listeutelukkelser (rot) mdatp edr exclusion list [processes|paths|extensions|all]

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.