De clientanalyse uitvoeren op macOS en Linux
Van toepassing op:
De XMDEClientAnalyzer wordt gebruikt voor het diagnosticeren van Microsoft Defender voor Eindpunt status- of betrouwbaarheidsproblemen op onboardingsapparaten met Linux of macOS.
Er zijn twee manieren om het hulpprogramma clientanalyse uit te voeren:
- Een binaire versie gebruiken (geen Python-afhankelijkheid)
- Een op Python gebaseerde oplossing gebruiken
De binaire versie van de clientanalyse uitvoeren
Download het binaire hulpprogramma XMDE Client Analyzer naar de macOS- of Linux-computer die u wilt onderzoeken.
Als u een terminal gebruikt, downloadt u het hulpprogramma door de volgende opdracht in te voeren:wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
Controleer het downloaden.
Opmerking
De huidige SHA256-hash van 'XMDEClientAnalyzerBinary.zip' die via deze koppeling wordt gedownload, is: '0A8E32B618F278BED60AB6763E9458BA2CD02C99D718E50DCCE51A7DBAC69863'
echo '0A8E32B618F278BED60AB6763E9458BA2CD02C99D718E50DCCE51A7DBAC69863 XMDEClientAnalyzerBinary.zip' | sha256sum -c
Pak de inhoud van XMDEClientAnalyzerBinary.zip op de computer uit.
Als u een terminal gebruikt, extraheert u de bestanden door de volgende opdracht in te voeren:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
Ga naar de map van het hulpprogramma door de volgende opdracht in te voeren:
cd XMDEClientAnalyzerBinary
Er worden drie nieuwe zip-bestanden geproduceerd:
- SupportToolLinuxBinary.zip : voor alle Linux-apparaten
- SupportToolmacOSBinary.zip : voor Mac-apparaten op basis van Intel
- SupportToolmacOS-armBinary.zip : voor Mac-apparaten met arm
Pak een van de bovenstaande 3 zip-bestanden uit op basis van de computer die u moet onderzoeken.
Wanneer u een terminal gebruikt, pakt u het bestand uit door een van de volgende opdrachten in te voeren op basis van het type machine:Linux
unzip -q SupportToolLinuxBinary.zip
Mac op basis van Intel
unzip -q SupportToolmacOSBinary.zip
Voor Op Arm gebaseerde Mac-apparaten
unzip -q SupportToolmacOS-armBinary.zip
Voer het hulpprogramma uit als hoofdmap om een diagnostisch pakket te genereren:
sudo ./MDESupportTool -d
De clientanalyse op basis van Python uitvoeren
Opmerking
De analyzer is afhankelijk van enkele extra PIP-pakketten (sh, distro, lxml, pandas) die in het besturingssysteem zijn geïnstalleerd in root om de resultaatuitvoer te produceren. Als deze niet is geïnstalleerd, probeert de analyzer deze op te halen uit de officiële opslagplaats voor Python-pakketten.
Waarschuwing
Voor het uitvoeren van de clientanalyse op basis van Python is de installatie van PIP-pakketten vereist, wat problemen in uw omgeving kan veroorzaken. Om te voorkomen dat er problemen optreden, is het raadzaam dat u de pakketten installeert in een PIP-gebruikersomgeving.
Bovendien moet voor het hulpprogramma momenteel Python versie 3 of hoger worden geïnstalleerd.
Als uw apparaat zich achter een proxy bevindt, kunt u de proxyserver als omgevingsvariabele doorgeven aan het mde_support_tool.sh script. Bijvoorbeeld: .
https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
Download het hulpprogramma XMDE Client Analyzer naar de macOS- of Linux-computer die u wilt onderzoeken.
Als u een terminal gebruikt, downloadt u het hulpprogramma door de volgende opdracht uit te voeren:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
De download controleren
echo '926DEF4C6857641E205E7978126F7C2CE541D52AEA1C0E194DDB85F7BCFDE3D9 XMDEClientAnalyzer.zip' | sha256sum -c
Pak de inhoud van XMDEClientAnalyzer.zip op de computer uit.
Als u een terminal gebruikt, extraheert u de bestanden met de volgende opdracht:unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
Wijzig de map in de geëxtraheerde locatie.
cd XMDEClientAnalyzer
Geef het hulpprogramma een uitvoerbare machtiging:
chmod a+x mde_support_tool.sh
Voer uit als een niet-hoofdgebruiker om vereiste afhankelijkheden te installeren:
./mde_support_tool.sh
Als u het werkelijke diagnostische pakket wilt verzamelen en het resultaatarchiefbestand wilt genereren, voert u opnieuw uit als hoofdmap:
sudo ./mde_support_tool.sh -d
Opdrachtregelopties
Primaire opdrachtregels
Gebruik de volgende opdracht om de computerdiagnose op te halen.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Gebruiksvoorbeeld: sudo ./MDESupportTool -d
Positionele argumenten
Prestatiegegevens verzamelen
Verzamel uitgebreide tracering van machineprestaties voor analyse van een prestatiescenario dat op aanvraag kan worden gereproduceerd.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Gebruiksvoorbeeld: sudo ./MDESupportTool performance --frequency 2
Besturingssysteemtracering gebruiken (alleen voor macOS)
Gebruik de traceringsfaciliteiten van het besturingssysteem om prestatietraceringen van Defender voor Eindpunt vast te leggen.
Opmerking
Deze functionaliteit bestaat alleen in de Python-oplossing.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
Als u deze opdracht voor het eerst uitvoert, wordt er een profielconfiguratie geïnstalleerd.
Volg dit om de profielinstallatie goed te keuren: Apple Support Guide.
Gebruiksvoorbeeld ./mde_support_tool.sh trace --length 5
Modus uitsluiten
Uitsluitingen voor controlecontrole toevoegen.
Opmerking
Deze functionaliteit bestaat alleen voor Linux.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Gebruiksvoorbeeld: sudo ./MDESupportTool exclude -d /var/foo/bar
AuditD Rate Limiter
Syntaxis die kan worden gebruikt om het aantal gebeurtenissen te beperken dat door de auditD-invoegtoepassing wordt gerapporteerd. Met deze optie stelt u de frequentielimiet globaal in voor AuditD, waardoor alle controlegebeurtenissen afnemen. Wanneer de limiter is ingeschakeld, is het aantal gecontroleerde gebeurtenissen beperkt tot 2500 gebeurtenissen per seconde. Deze optie kan worden gebruikt in gevallen waarin we een hoog CPU-gebruik zien aan de zijde van AuditD.
Opmerking
Deze functionaliteit bestaat alleen voor Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Gebruiksvoorbeeld: sudo ./mde_support_tool.sh ratelimit -e true
Opmerking
Deze functionaliteit moet zorgvuldig worden gebruikt om het aantal gebeurtenissen te beperken dat door het gecontroleerde subsysteem als geheel wordt gerapporteerd. Dit kan ook het aantal gebeurtenissen voor andere abonnees verminderen.
Foutieve regels overslaan gecontroleerd
Met deze optie kunt u de onjuiste regels overslaan die zijn toegevoegd aan het bestand met gecontroleerde regels tijdens het laden ervan. Met deze optie kan het gecontroleerde subsysteem regels blijven laden, zelfs als er een onjuiste regel is. Deze optie geeft een overzicht van de resultaten van het laden van de regels. Op de achtergrond wordt met deze optie de auditctl uitgevoerd met de optie -c.
Opmerking
Deze functionaliteit is alleen beschikbaar op Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Gebruiksvoorbeeld: sudo ./mde_support_tool.sh skipfaultyrules -e true
Opmerking
Met deze functionaliteit worden de onjuiste regels overgeslagen. De foutieve regel moet vervolgens verder worden geïdentificeerd en opgelost.
Inhoud van het resultaatpakket in macOS en Linux
report.html
Beschrijving: het belangrijkste HTML-uitvoerbestand met de bevindingen en richtlijnen die het analysescript op de computer kan produceren.
mde_diagnostic.zip
Beschrijving: Dezelfde diagnostische uitvoer die wordt gegenereerd bij het uitvoeren van mdatp diagnostic create op macOS of Linux.
mde.xml
Beschrijving: XML-uitvoer die wordt gegenereerd tijdens het uitvoeren en wordt gebruikt om het HTML-rapportbestand te bouwen.
Processes_information.txt
Beschrijving: bevat de details van de actieve Microsoft Defender voor Eindpunt gerelateerde processen op het systeem.
Log.txt
Beschrijving: bevat dezelfde logboekberichten die tijdens het verzamelen van gegevens op het scherm zijn geschreven.
Health.txt
Beschrijving: dezelfde basisstatusuitvoer die wordt weergegeven bij het uitvoeren van de opdracht mdatp-status .
Events.xml
Beschrijving: aanvullend XML-bestand dat door de analyse wordt gebruikt bij het bouwen van het HTML-rapport.
Audited_info.txt
Beschrijving: details over gecontroleerde service en gerelateerde onderdelen voor het Linux-besturingssysteem .
perf_benchmark.tar.gz
Beschrijving: de prestatietestrapporten. U ziet dit alleen als u de prestatieparameter gebruikt.
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
https://aka.ms/ContentUserFeedback voor meer informatie.
Binnenkort beschikbaar: in de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. ZieFeedback verzenden en weergeven voor