Kjør klientanalyse på Linux

Hvis du har problemer med Microsoft Defender for endepunkt på Linux og trenger støtte, kan du bli bedt om å oppgi utdataene fra verktøyet Klientanalyse. Det er et diagnoseverktøy som hjelper administratorer og kundestøtteteam med å feilsøke problemer med Microsoft Defender for endepunkt. Den samler inn detaljert informasjon om installasjon, konfigurasjon, tjenestetilstand, logger, tilkoblingsstatus osv. Dette verktøyet brukes hovedsakelig til å kontrollere systemtilstand, validere konfigurasjoner og hjelpe til med å feilsøke potensielle problemer.

Denne artikkelen forklarer hvordan du bruker verktøyet på enheten eller med direkte respons. Du kan bruke enten en Python-basert løsning eller en binærversjon som ikke trenger Python.

Tips

Se denne videoen for å få en oversikt over klientanalyse: Oversikt over Defender for Endpoint-klientanalyse

Kjør binærversjonen av klientanalysen

Binærversjonen av klientanalyse gjøres tilgjengelig på to måter:

• Leveres med Microsoft Defender for Linux
• Levert som et frittstående verktøy

Kjør binærfilen for Klientanalyse levert med Microsoft Defender for Linux:

Obs!

Fra og med Defender for Endpoint-versjonen 101.25082.0000leveres Klientanalyse med en agent. Du finner den på følgende plassering: /opt/microsoft/mdatp/tools/client_analyzer/binary

Følg disse trinnene for å kjøre denne klientanalysen:

1. Gå til katalogen /opt/microsoft/mdatp/tools/client_analyzer/binary:

   cd /opt/microsoft/mdatp/tools/client_analyzer/binary
   

2. Kjør verktøyet som rot for å generere en diagnosepakke:

   sudo ./MDESupportTool -d
   

Last ned og kjør det frittstående binærverktøyet Client Analyzer

Følg fremgangsmåten nedenfor for å bruke den frittstående ClientAnalyzer-binærfilen

1. Last ned binærverktøyet for XMDE Client Analyzer til Linux-maskinen du må undersøke. Hvis du bruker en terminal, laster du ned verktøyet ved å skrive inn følgende kommando:

   wget --quiet -O XMDEClientAnalyzerBinary.zip "https://go.microsoft.com/fwlink/?linkid=2336125"
   

2. Bekreft nedlastingen:

   echo '042692269A7208AB30B4355A6FC1CD0A25FE59356D96CCD2E7F1F61DF9B4B85D XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

3. Trekk ut innholdet XMDEClientAnalyzerBinary.zip på maskinen.

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. Endre katalogen:

   cd XMDEClientAnalyzerBinary
   

5. To nye ZIP-filer produseres:

   • SupportToolLinuxamd64Binary.zip: For x86 Linux-enheter
   • SupportToolLinuxarm64Binary.zip: For ARM Linux-enheter

6. Pakk ut den sepecific zip basert på Linux OS arkitektur. Vi bruker for eksempel filen her SupportToolLinuxamd64Binary.zip .

   unzip -q SupportToolLinuxamd64Binary.zip
   

7. Kjør verktøyet som rot for å generere en diagnosepakke:

   sudo ./MDESupportTool -d
   

Kjør den Python-baserte klientanalysen

Python-versjonen av klientanalyse gjøres tilgjengelig på to måter:

• Leveres med Microsoft Defender for Linux
• Levert som et frittstående verktøy

Obs!

• Analyseren avhenger av noen ekstra PIP-pakker (decorator, sh, distro, lxmlog psutil) som er installert i operativsystemet når du er i roten for å produsere resultatutdataene. Hvis det ikke er installert, forsøker analyseren å hente det fra det offisielle repositoriet for Python-pakker.
• I tillegg krever verktøyet for øyeblikket at Python versjon 3 eller nyere er installert på enheten.
• Hvis enheten er bak en proxy, kan du sende proxy-serveren som en miljøvariabel til skriptet mde_support_tool.sh . Eksempel: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Advarsel

Hvis du kjører den Python-baserte klientanalysen, må du installere PIP-pakker som kan forårsake noen problemer i miljøet ditt. For å unngå problemer som oppstår, anbefaler vi at du installerer pakkene i et bruker-PIP-miljø.

Kjør Python-versjonen for Client Analyzer levert med Microsoft Defender for Linux

Obs!

Fra og med Defender for Endpoint-versjonen 101.25082.0000leveres Klientanalyse med en agent. Du finner den på følgende plassering: /opt/microsoft/mdatp/tools/client_analyzer/python

Følg disse trinnene for å kjøre denne klientanalysen:

1. Gå til katalog:/opt/microsoft/mdatp/tools/client_analyzer/python

   cd /opt/microsoft/mdatp/tools/client_analyzer/python
   

2. Kjør som en rotbruker for å installere nødvendige avhengigheter.

   sudo ./mde_support_tool.sh
   

3. Hvis du vil samle inn diagnosepakken og generere resultatarkivfilen, kjører du på nytt som rot.

   sudo ./mde_support_tool.sh -d
   

Last ned og kjør den frittstående Python-versjonen for Client Analyzer

1. Last ned verktøyet XMDE Client Analyzer på Linux-maskinen du må undersøke. Hvis du bruker en terminal, laster du ned verktøyet ved å skrive inn følgende kommando:

   wget --quiet -O XMDEClientAnalyzerPython.zip "https://go.microsoft.com/fwlink/?linkid=2336046"
   

2. Bekreft nedlastingen:

   echo '9F29043CD3034DD4DF30B0EA25B37B5EE7BE5D81D5848CF047F9842B76C831EA XMDEClientAnalyzerPython.zip' | sha256sum -c
   

3. Trekk ut innholdet XMDEClientAnalyzer.zip på maskinen:

   unzip -q XMDEClientAnalyzerPython.zip -d XMDEClientAnalyzerPython
   

4. Endre katalogen:

   cd XMDEClientAnalyzerPython
   

5. Gi det kjørbare verktøyet tillatelse:

   chmod a+x mde_support_tool.sh
   

6. Kjør som en ikke-rødbetbruker for å installere nødvendige avhengigheter:

   ./mde_support_tool.sh
   

7. Hvis du vil samle inn diagnosepakken og generere resultatarkivfilen, kjører du på nytt som rot:

   sudo ./mde_support_tool.sh -d
   

Tips

Se denne videoen for å finne ut mer om pålastingsproblemer: Pålastingsproblemer med Defender for Endpoint-klientanalyse

Kommandolinjealternativer

Nedenfor finner du kommandolinjealternativene fra klientanalyse:

usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
                      [--force] [--diagnostic] [--skip-mdatp]
                      [--bypass-disclaimer] [--interactive] [--delay DELAY]
                      [--mdatp-log {trace,info,warning,error,debug,verbose}]
                      [--max-log-size MAX_LOG_SIZE]
                      {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
                      ...

MDE Diagnostics Tool

positional arguments:
  {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
    certinfocollection  Collect cert information: Subject name and Hashes
    performance         Collect extensive machine performance tracing for
                        analysis of a performance scenario that can be
                        reproduced on demand
    installation        Collect different installation/onboarding reports
    exclude             Exclude specific processes from audit-d monitoring.
    ratelimit           Set the rate limit for auditd events. Rate limit will
                        update the limits for auditd events for all the
                        applications using auditd, which could impact
                        applications other than MDE.
    skipfaultyrules     Continue loading rules in spite of an error. This
                        summarizes the results of loading the rules. The exit
                        code will not be success if any rule fails to load.
    trace               Use OS tracing facilities to record Defender
                        performance traces.
    observespikes       Collect the process logs in case of spike or mdatp
                        crash
    connectivitytest    Perform connectivity test for MDE

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Diagnosemodus

Diagnosemodus brukes til å samle inn omfattende sett med maskininformasjon, for eksempel minne, disk og MDATP-logger. Dette settet med filer gir det primære settet med informasjon som kreves for å feilsøke eventuelle problemer relatert til Defender For Endpoint.

Alternativene som støttes, er som følger:

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Eksempel på bruk: sudo ./MDESupportTool -d

Obs!

Funksjonen for autosett på loggnivå er bare tilgjengelig i agentversjon 101.24052.0002 eller nyere.

Filene som genereres når du bruker denne modusen, summeres i tabellen nedenfor:

Filen	Merknader
mde_diagnostic.zip	Defender for endepunktlogger og konfigurasjoner
health.txt	Tilstandsstatusen til Defender for endepunkt (Presenter bare når Defender for endepunkt er installert)
health_details_features.txt	Tilstandsstatusen til andre Funksjoner i Defender for Endpoint (Presenter bare når Defender for endepunkt er installert)
permissions.txt	Tillatelsesproblemer med mappene som eies/brukes av Defender for endepunkt (Presenter bare når Defender for endepunkt er installert)
crashes	Krasjdumper generert av Defender for endepunkt
process_information.txt	Prosessen kjører på maskinen når verktøyet ble kjørt
proc_directory_info.txt	Tilordning av det virtuelle minnet til Defender for endepunktprosesser (Presenter bare når Defender for endepunkt er installert)
auditd_info.txt	Overvåket tilstand, regler, logger
auditd_log_analysis.txt	Sammendrag av hendelser som behandles av overvåket
auditd_logs.zip	Overvåkede loggfiler
ebpf_kernel_config.txt	Innlastet Linux Kernel-konfigurasjon
ebpf_enabled_func.txt	Liste over alle kjernefunksjonene som er aktivert for sporing
ebpf_syscalls.zip	Informasjon om sporing av systemanrop
ebpf_raw_syscalls.zip	Sporingshendelser relatert til rå systemkall
ebpf_maps_info.txt	Informasjon om ID og størrelse for eBPF-kart
syslog.zip	Filene under /var/log/syslog
messages.zip	Filene under /var/log/messages
conflicting_processes_information.txt	Motstridende prosesser for Defender for endepunkt
exclusions.txt	Liste over antivirusutelukker
definitions.txt	Informasjon om antivirusdefinisjon
mde_directories.txt	Liste over filer i Kataloger for Defender for Endpoint
disk_usage.txt	Detaljer om diskbruk
mde_user.txt	Brukerinformasjon for Defender for endepunkt
mde_definitions_mount.txt	Monteringspunkt for Defender for endepunktdefinisjoner
service_status.txt	Tjenestestatus for Defender for endepunkt
service_file.txt	Defender for endepunkttjenestefil
hardware_info.txt	Maskinvareinformasjon
mount.txt	Informasjon om monteringspunkt
uname.txt	Kjerneinformasjon
memory.txt	Informasjon om systemminne
meminfo.txt	Detaljert informasjon om systemets minnebruk
cpuinfo.txt	CPU-informasjon
lsns_info.txt	Informasjon om Linux-navneområde
lsof.txt	Informasjon om Åpne filbeskrivelser for Defender for endepunkt (se notatet etter denne tabellen)
sestatus.txt	Informasjon om Åpne filbeskrivelser for Defender for endepunkt
lsmod.txt	Status for moduler i Linux-kjernen
dmesg.txt	Meldinger fra kjerneringbufferen
kernel_lockdown.txt	informasjon om kjernesperring
rtp_statistics.txt	Statistikk for Defender for Endpoint Real Time Protection (RTP) (Presenter bare når Defender for endepunkt er installert)
libc_info.txt	informasjon om libc-bibliotek
uptime_info.txt	Tid siden forrige omstart
last_info.txt	Liste over sist påloggede brukere
locale_info.txt	Vis gjeldende nasjonal innstilling
tmp_files_owned_by_mdatp.txt	/tmp-filer eid av gruppe: mdatp (Presenter bare når Defender for endepunkt er installert)
mdatp_config.txt	Alle konfigurasjoner for Defender for endepunkt (Presenter bare når Defender for endepunkt er installert)
mpenginedb.db mpenginedb.db-wal mpenginedb.db-shm	Antivirusdefinisjonsfil (Presenter bare når Defender for endepunkt er installert)
iptables_rules.txt	Regler for Linux-iptables
network_info.txt	Nettverksinformasjon
sysctl_info.txt	informasjon om kjerneinnstillinger
hostname_diagnostics.txt	Diagnoseinformasjon for vertsnavn
mde_event_statistics.txt	Statistikk for Defender for endepunkthendelse (Presenter bare når Defender for endepunkt er installert)
mde_ebpf_statistics.txt	Defender for eBPF-statistikk for endepunkt (Presenter bare når Defender for endepunkt er installert)
kernel_logs.zip	Kjernelogger
mdc_log.zip	Microsoft Defender for skylogger
netext_config.txt
threat_list.txt	Liste over trusler oppdaget av Defender for endepunkt (Presenter bare når Defender for endepunkt er installert)
top_output.txt	Prosessen kjører på maskinen når verktøyet ble kjørt
top_summary.txt	Bruksanalyse for minne og prosessor for prosessen som kjører

Valgfrie argumenter for Klientanalyse

Client Analyzer inneholder følgende valgfrie argumenter for ekstra datainnsamling:

Samle inn ytelsesinformasjon

Samle inn omfattende maskinytelsessporing av Defender for endepunktprosesser for analyse av et ytelsesscenario som kan reproduseres ved behov.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Eksempel på bruk: sudo ./MDESupportTool performance --frequency 500

Nedenfor er filen som genereres når du bruker denne modusen:

Filen	Merknader
perf_benchmark.tar.gz	Defender for Endpoint behandler ytelsesdata

Obs!

Filene som tilsvarer diagnosemodus, genereres også.

Tjære inneholder filer i formatet <pid of a MDE process>.data. Datafilen kan leses ved hjelp av kommandoen:

perf report -i <pid>.data

Kjør tilkoblingstest

Denne modusen tester om skyressursene som kreves av Defender for Endpoint, kan nås eller ikke.

  -h, --help            show this help message and exit
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                        Path to onboarding script
  -g GEO, --geo GEO     Geo string to test <US|UK|EU|AU|CH|IN>

Eksempel på bruk:

sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`

Utdataene som skrives ut på skjermen, viser om nettadressene kan nås eller ikke.

Samle inn ulike installasjons-/pålastingsrapporter

Denne modusen samler inn installasjonsrelatert informasjon som distro og systemkrav.

  -h, --help                show this help message and exit
  -d, --distro              Check for distro support
  -m, --min-requirement     Check for the system info against offical minimum requirements
  -e, --external-dep        Check for externel package dependency
  -c, --connectivity        Check for connectivity for services used by MDE
  -a, --all                 Run all checks
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                            Path to onboarding script
  -g GEO, --geo GEO         Geo string to test <US|UK|EU|AU|CH|IN>

Eksempel på bruk:

sudo ./MDESupportTool installation --all

Én enkelt rapport installation_report.json genereres. Nøklene i filen er som følger:

Nøkkel	Merknader
agent_version	Versjon av Defender for endepunkt installert.
onboarding_status	Informasjon om pålasting og ringing
support_status	MDE støttes med gjeldende systemkonfigurasjoner.
Distro	Distroen som agenten er installert på, støttes eller ikke.
tilkoblingstest	Statusen for tilkoblingstester.
min_requirement	Minimumskravene for CPU og minne oppfylles.
external_depedency	De eksterne avhengighetene er oppfylt eller ikke.
mde_health	Tilstandsstatus for MDE agent
folder_perm	De nødvendige mappetillatelsene er oppfylt eller ikke.

Ekskluderingsmodus

Denne modusen legger til unntak for audit-d overvåking.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Eksempel på bruk:

sudo ./MDESupportTool exclude -d /var/foo/bar`

Overvåkingshastighetsgrense

Dette alternativet angir satsgrensen globalt for OvervåkingSD, noe som fører til et fall i alle overvåkingshendelsene. Når limiter er aktivert, er de overvåkede hendelsene begrenset til 2500 hendelser/sek. Dette alternativet kan brukes i tilfeller der vi ser høy CPU-bruk fra AuditD-siden.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Eksempel på bruk:

sudo ./mde_support_tool.sh ratelimit -e true

Obs!

Denne funksjonaliteten bør brukes nøye når den begrenser antall hendelser de reviderte delsystemrapportene som helhet. Dette kan også redusere antall hendelser for andre abonnenter.

OvervåkD, hopp over defekte regler

Med dette alternativet kan du hoppe over de defekte reglene som er lagt til i filen med overvåkede regler mens du laster dem inn. Det gjør det mulig for det reviderte delsystemet å fortsette å laste inn regler selv om det er en feilregel.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Eksempel på bruk:

sudo ./mde_support_tool.sh skipfaultyrules -e true

Obs!

Denne funksjonaliteten hopper over de defekte reglene. Feilregler må identifiseres og løses ytterligere.

Bruk direkte svar i Defender for Endpoint til å samle støttelogger

Verktøyet XMDE Client Analyzer kan lastes ned som en binær - eller Python-pakke som kan pakkes ut og kjøres på Linux-maskiner. Begge versjonene av XMDE Client Analyzer kan kjøres under en direkte responsøkt.

• Pakken er nødvendig for installasjon unzip .
• Pakken kreves for kjøring acl .

Viktig

Vinduet bruker de usynlige tegnene vognretur og linjeskift til å representere slutten på én linje og begynnelsen av en ny linje i en fil, men Linux-systemer bruker bare det usynlige tegnet for linjefeed på slutten av fillinjene. Når du bruker følgende skript, kan denne forskjellen resultere i feil og feil i skriptene som skal kjøres, hvis de gjøres i Windows. En potensiell løsning på dette er å bruke Windows-undersystem for Linux og dos2unix pakken til å omformatere skriptet slik at den samsvarer med Unix- og Linux-formatstandarden.

Installer XMDE Client Analyzer

Last ned og pakk ut XMDE Client Analyzer. Du kan bruke enten binær- eller Python-versjonen, som følger:

• Binærversjon av Klientanalyse
• Python-versjon av Client Analyzer

På grunn av de begrensede kommandoene som er tilgjengelige i direkte respons, må trinnene som er beskrevet, utføres i et bash-skript. Ved å dele installasjons- og utførelsesdelen av disse kommandoene, er det mulig å kjøre installasjonsskriptet én gang og kjøre kjøringsskriptet flere ganger.

Viktig

Eksempelskriptene forutsetter at maskinen har direkte Internett-tilgang og kan hente XMDE Client Analyzer fra Microsoft. Hvis maskinen ikke har direkte Internett-tilgang, må installasjonsskriptene oppdateres for å hente XMDE Client Analyzer fra en plassering maskinene har tilgang til.

Installasjonsskript for binær klientanalyse

Følgende skript utfører de første seks trinnene i Den binære versjonen av Klientanalyse. Når du er ferdig, er binærfilen for XMDE Client Analyzer tilgjengelig fra katalogen /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer .

1. Opprett en bash-fil InstallXMDEClientAnalyzer.sh , og lim inn følgende innhold i den.

   #! /usr/bin/bash 
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   echo 'C65A4E4C6851D130942BFACD147A9D18B8A92B4F50FACF519477FD1C41A1C323 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/XMDEClientAnalyzer/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Installasjonsskript for Python-klientanalyse

Det følgende skriptet utfører de første seks trinnene i Kjøring av Python-versjonen av Klientanalyse. Når du er ferdig, er Python-skriptene for XMDE Client Analyzer tilgjengelig fra katalogen /tmp/XMDEClientAnalyzer .

1. Opprett en bash-fil InstallXMDEClientAnalyzer.sh , og lim inn følgende innhold i den.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

Tips

Se denne videoen for å finne ut mer om endepunktinnstillinger: Endepunktinnstillinger for endepunktanalyse for Defender for endepunktklient

Kjør installasjonsskriptene for klientanalyse

1. Start en økt med direkte respons på maskinen du vil undersøke.

2. Velg Last opp fil til bibliotek.

3. Velg Velg fil.

4. Velg den nedlastede filen med navnet InstallXMDEClientAnalyzer.sh, og velg deretter Bekreft.

5. Mens du fortsatt er i LiveResponse-økten, kan du bruke følgende kommandoer til å installere analyseren:

   run InstallXMDEClientAnalyzer.sh
   

Kjør XMDE-klientanalyse

Direkte svar støtter ikke kjøring av XMDE Client Analyzer eller Python direkte, så et kjøringsskript er nødvendig.

Viktig

Følgende skript forutsetter at XMDE Client Analyzer ble installert ved hjelp av de samme plasseringene fra skriptene som ble nevnt tidligere. Hvis organisasjonen velger å installere skriptene på en annen plassering, må skriptene oppdateres for å samsvare med organisasjonens valgte installasjonsplassering.

Skript for å kjøre binær klientanalyse

Den binære versjonen av klientanalyse godtar kommandolinjeparametere for å utføre forskjellige analysetester. Hvis du vil gi lignende funksjoner under direkte respons, drar kjøringsskriptet nytte av bash-variabelen $@ for å sende alle inndataparameterne som gis til skriptet til XMDE Client Analyzer.

1. Opprett en bash-fil MDESupportTool.sh , og lim inn følgende innhold i den.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Skript for kjøring av Python-klientanalyse

Python-versjonen av klientanalyse godtar kommandolinjeparametere for å utføre forskjellige analysetester. Hvis du vil gi lignende funksjoner under direkte respons, drar kjøringsskriptet nytte av bash-variabelen $@ for å sende alle inndataparameterne som gis til skriptet til XMDE Client Analyzer.

1. Opprett en bash-fil MDESupportTool.sh , og lim inn følgende innhold i den.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Kjør skriptet for klientanalyse

Obs!

Hvis du har en aktiv økt for direkte respons, kan du hoppe over trinn 1.

1. Start en økt med direkte respons på maskinen du vil undersøke.

2. Velg Last opp fil til bibliotek.

3. Velg Velg fil.

4. Velg den nedlastede filen med navnet MDESupportTool.sh, og velg deretter Bekreft.

5. Bruk følgende kommandoer til å kjøre analyseren mens du fortsatt er i økten for direkte respons, og samle inn den resulterende filen:

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Se også

• Oversikt over klientanalyse

• Datainnsamling for avansert feilsøking i Windows

• Forstå HTML-rapporten for analysering

Defender for endepunkt for Linux-feilsøking av dokumenter

• Feilsøke installasjonsproblemer for Microsoft Defender for endepunkt på Linux

• Undersøk problemer med agenttilstand

• Feilsøke problemer med skytilkobling for Microsoft Defender for endepunkt på Linux

• Feilsøke ytelsesproblemer for Microsoft Defender for endepunkt på Linux

• Feilsøke problemer med manglende hendelser eller varsler for Microsoft Defender for endepunkt på Linux

• Adresser falske positiver/negativer i Microsoft Defender for endepunkt