Uruchamianie analizatora klienta w systemach macOS i Linux
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
Narzędzie XMDEClientAnalyzer służy do diagnozowania Ochrona punktu końcowego w usłudze Microsoft Defender problemów z kondycją lub niezawodnością na dołączonych urządzeniach z systemem Linux lub macOS.
Istnieją dwa sposoby uruchamiania narzędzia analizatora klienta:
- Korzystanie z wersji binarnej (bez zależności języka Python)
- Korzystanie z rozwiązania opartego na języku Python
Uruchamianie binarnej wersji analizatora klienta
Pobierz narzędzie binarne analizatora klienta XMDE na maszynę z systemem macOS lub Linux, którą należy zbadać.
Jeśli używasz terminalu, pobierz narzędzie, wprowadzając następujące polecenie:wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinarySprawdź pobranie.
Uwaga
Bieżący skrót SHA256 "XMDEClientAnalyzerBinary.zip", który jest pobierany z tego linku, to: "9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469"
- Linux
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c- macOS
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -cWyodrębnij zawartość XMDEClientAnalyzerBinary.zip na maszynie.
Jeśli używasz terminalu, wyodrębnij pliki, wprowadzając następujące polecenie:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinaryPrzejdź do katalogu narzędzia, wprowadzając następujące polecenie:
cd XMDEClientAnalyzerBinaryTworzone są trzy nowe pliki zip:
- SupportToolLinuxBinary.zip : dla wszystkich urządzeń z systemem Linux
- SupportToolMacOSBinary.zip : w przypadku urządzeń z systemem Mac
Rozpakuj jeden z powyższych 2 plików zip na podstawie maszyny, którą musisz zbadać.
W przypadku korzystania z terminalu rozpakuj plik, wprowadzając jedno z następujących poleceń na podstawie typu systemu operacyjnego:Linux
unzip -q SupportToolLinuxBinary.zipMac
unzip -q SupportToolMacOSBinary.zip
Uruchom narzędzie jako główny , aby wygenerować pakiet diagnostyczny:
sudo ./MDESupportTool -d
Uruchamianie analizatora klienta opartego na języku Python
Uwaga
Analizator zależy od kilku dodatkowych pakietów PIP (sh, distro, lxml, pandas), które są instalowane w systemie operacyjnym w katalogu głównym w celu uzyskania wynikowych danych wyjściowych. Jeśli nie zostanie zainstalowany, analizator spróbuje pobrać go z oficjalnego repozytorium dla pakietów języka Python.
Ostrzeżenie
Uruchomienie analizatora klienta opartego na języku Python wymaga instalacji pakietów PIP, które mogą powodować pewne problemy w środowisku. Aby uniknąć występowania problemów, zaleca się zainstalowanie pakietów w środowisku pip użytkownika.
Ponadto narzędzie obecnie wymaga zainstalowania języka Python w wersji 3 lub nowszej.
Jeśli urządzenie znajduje się za serwerem proxy, możesz po prostu przekazać serwer proxy jako zmienną środowiskową do skryptu mde_support_tool.sh. Na przykład: .
https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
Pobierz narzędzie XMDE Client Analyzer na maszynę z systemem macOS lub Linux, którą należy zbadać.
Jeśli używasz terminalu, pobierz narzędzie, uruchamiając następujące polecenie:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzerWeryfikowanie pobierania
- Linux
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c- macOS
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | shasum -a 256 -cWyodrębnij zawartość XMDEClientAnalyzer.zip na maszynie.
Jeśli używasz terminalu, wyodrębnij pliki za pomocą następującego polecenia:unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzerZmień katalog na wyodrębnione miejsce.
cd XMDEClientAnalyzerNadaj narzędziu uprawnienie wykonywalne:
chmod a+x mde_support_tool.shUruchom jako użytkownik niebędący użytkownikiem głównym, aby zainstalować wymagane zależności:
./mde_support_tool.shAby zebrać rzeczywisty pakiet diagnostyczny i wygenerować plik archiwum wyników, uruchom ponownie jako główny:
sudo ./mde_support_tool.sh -d
Opcje wiersza polecenia
Podstawowe wiersze poleceń
Użyj następującego polecenia, aby uzyskać diagnostykę maszyny.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Przykład użycia: sudo ./MDESupportTool -d
Argumenty pozycyjne
Zbieranie informacji o wydajności
Zbierz obszerne śledzenie wydajności maszyny w celu analizy scenariusza wydajności, który można odtworzyć na żądanie.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Przykład użycia: sudo ./MDESupportTool performance --frequency 2
Używanie śledzenia systemu operacyjnego (tylko dla systemu macOS)
Użyj urządzeń do śledzenia systemu operacyjnego, aby rejestrować ślady wydajności usługi Defender dla punktów końcowych.
Uwaga
Ta funkcja istnieje tylko w rozwiązaniu języka Python.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
Po pierwszym uruchomieniu tego polecenia instaluje ono konfigurację profilu.
Postępuj zgodnie z tym, aby zatwierdzić instalację profilu: Przewodnik pomocy technicznej firmy Apple.
Przykład użycia ./mde_support_tool.sh trace --length 5
Tryb wykluczania
Dodawanie wykluczeń na potrzeby monitorowania audit-d.
Uwaga
Ta funkcja istnieje tylko dla systemu Linux.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Przykład użycia: sudo ./MDESupportTool exclude -d /var/foo/bar
Ogranicznik szybkości inspekcji
Składnia, której można użyć do ograniczenia liczby zdarzeń zgłaszanych przez wtyczkę auditD. Ta opcja ustawia limit szybkości globalnie dla auditD powodując spadek wszystkich zdarzeń inspekcji. Po włączeniu ogranicznika liczba zdarzeń inspekcji jest ograniczona do 2500 zdarzeń na sekundę. Tej opcji można użyć w przypadkach, gdy widzimy wysokie użycie procesora CPU po stronie AuditD.
Uwaga
Ta funkcja istnieje tylko dla systemu Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Przykład użycia: sudo ./mde_support_tool.sh ratelimit -e true
Uwaga
Ta funkcja powinna być starannie używana jako ograniczenie liczby zdarzeń zgłaszanych przez poddawane inspekcji podsystem jako całość. Może to również zmniejszyć liczbę zdarzeń dla innych subskrybentów.
AuditD Pomiń błędy reguł
Ta opcja umożliwia pominięcie błędnych reguł dodanych do pliku reguł inspekcji podczas ich ładowania. Ta opcja umożliwia podsystemowi inspekcji kontynuowanie ładowania reguł, nawet jeśli istnieje błędna reguła. Ta opcja zawiera podsumowanie wyników ładowania reguł. W tle ta opcja uruchamia parametr auditctl z opcją -c.
Uwaga
Ta funkcja jest dostępna tylko w systemie Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Przykład użycia: sudo ./mde_support_tool.sh skipfaultyrules -e true
Uwaga
Ta funkcja będzie pomijać błędne reguły. Następnie należy dokładniej zidentyfikować i naprawić wadliwą regułę.
Zawartość pakietu wyników w systemach macOS i Linux
report.html
Opis: główny plik wyjściowy HTML zawierający wyniki i wskazówki, które może wygenerować skrypt analizatora na maszynie.
mde_diagnostic.zip
Opis: Te same dane wyjściowe diagnostyki, które są generowane podczas uruchamiania narzędzia mdatp diagnostic create w systemie macOS lub Linux.
mde.xml
Opis: dane wyjściowe XML generowane podczas uruchamiania i używane do kompilowania pliku raportu HTML.
Processes_information.txt
Opis: zawiera szczegółowe informacje o uruchomionych Ochrona punktu końcowego w usłudze Microsoft Defender powiązanych procesach w systemie.
Log.txt
Opis: zawiera te same komunikaty dziennika zapisane na ekranie podczas zbierania danych.
Health.txt
Opis: te same podstawowe dane wyjściowe kondycji, które są wyświetlane podczas uruchamiania polecenia mdatp health .
Events.xml
Opis: Dodatkowy plik XML używany przez analizator podczas tworzenia raportu HTML.
Audited_info.txt
Opis: szczegółowe informacje na temat inspekcji usługi i powiązanych składników systemu operacyjnego Linux .
perf_benchmark.tar.gz
Opis: raporty testów wydajnościowych. Zobaczysz to tylko wtedy, gdy używasz parametru wydajności.
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla