Запуск анализатора клиента в macOS и Linux
XMDEClientAnalyzer используется для диагностики проблем работоспособности или надежности Microsoft Defender для конечной точки на подключенных устройствах под управлением Linux или macOS.
Существует два способа запуска клиентского анализатора.
- Использование двоичной версии (без внешней зависимости Python)
- Использование решения на основе Python
Запуск двоичной версии клиентского анализатора
Скачайте двоичный инструмент анализатора клиента XMDE на компьютер macOS или Linux, который требуется изучить.
Если вы используете терминал, скачайте средство, введя следующую команду:wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinaryПроверьте скачивание.
- Linux
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c- macOS
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -cИзвлеките содержимое XMDEClientAnalyzerBinary.zip на компьютере.
Если вы используете терминал, извлеките файлы, введя следующую команду:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinaryПерейдите в каталог средства, введя следующую команду:
cd XMDEClientAnalyzerBinaryСоздаются два новых ZIP-файла:
- SupportToolLinuxBinary.zip : для всех устройств Linux
- SupportToolMacOSBinary.zip : для устройств Mac
Распакуйте один из приведенных выше 2 ZIP-файла на основе компьютера, который необходимо исследовать.
При использовании терминала распакуйте файл, введя одну из следующих команд в зависимости от типа ОС:
Linux
unzip -q SupportToolLinuxBinary.zipMac
unzip -q SupportToolMacOSBinary.zip
Запустите средство от имени root , чтобы создать диагностический пакет:
sudo ./MDESupportTool -d
Запуск клиентского анализатора на основе Python
Примечание.
- Анализатор зависит от нескольких дополнительных пакетов PIP (
decorator, ,shdistro,lxmlиpsutil), которые устанавливаются в операционной системе в корневом каталоге для получения выходных данных результата. Если он не установлен, анализатор пытается получить его из официального репозитория для пакетов Python. - Кроме того, в настоящее время на устройстве требуется установить Python версии 3 или более поздней.
- Если устройство находится за прокси-сервером, можно просто передать прокси-сервер в качестве переменной среды в
mde_support_tool.shскрипт. Пример:https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".
Предупреждение
Для запуска клиентского анализатора на основе Python требуется установка пакетов PIP, что может вызвать некоторые проблемы в вашей среде. Чтобы избежать возникновения проблем, рекомендуется установить пакеты в пользовательской среде PIP.
Скачайте средство анализатора клиента XMDE на компьютер macOS или Linux, который требуется изучить.
Если вы используете терминал, скачайте средство, выполнив следующую команду:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzerПроверка загрузки
- Linux
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c- macOS
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | shasum -a 256 -cИзвлеките содержимое XMDEClientAnalyzer.zip на компьютере. Если вы используете терминал, извлеките файлы с помощью следующей команды:
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzerИзмените каталог на извлеченное расположение.
cd XMDEClientAnalyzerПредоставьте исполняемому файлу средства разрешение:
chmod a+x mde_support_tool.shЗапустите от имени пользователя, не являющегося корневым, чтобы установить необходимые зависимости:
./mde_support_tool.shЧтобы собрать фактический пакет диагностики и создать архивный файл результата, снова выполните команду от имени root:
sudo ./mde_support_tool.sh -d
Параметры командной строки
Основные командные строки
Используйте следующую команду, чтобы получить диагностику компьютера.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--interactive, -i Interactive diagnostic
--delay DELAY, -dd DELAY
Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Пример использования: sudo ./MDESupportTool -d
ПРИМЕЧАНИЕ. Функция автоматического сброса на уровне журнала доступна только в версии 2405 или более поздней версии клиента.
Позиционные аргументы
Сбор сведений о производительности
Соберите обширную трассировку производительности компьютера для анализа сценария производительности, который можно воспроизвести по запросу.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Пример использования: sudo ./MDESupportTool performance --frequency 2
Использование трассировки ОС (только для macOS)
Используйте средства трассировки ОС для записи трассировок производительности Defender для конечной точки.
Примечание.
Эта функция существует только в решении Python.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
При первом выполнении этой команды устанавливается конфигурация профиля.
Следуйте этой инструкции, чтобы утвердить установку профиля: Руководство по поддержке Apple.
Пример использования ./mde_support_tool.sh trace --length 5
Режим исключения
Добавьте исключения для мониторинга audit-d.
Примечание.
Эта функция существует только для Linux.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Пример использования: sudo ./MDESupportTool exclude -d /var/foo/bar
AuditD Rate Limiter
Синтаксис, который можно использовать для ограничения количества событий, сообщаемых подключаемым модулем auditD. Этот параметр глобально задает ограничение скорости для AuditD, вызывая падение всех событий аудита. Если ограничитель включен, количество событий аудита ограничено 2500 событиями в секунду. Этот параметр можно использовать в тех случаях, когда мы видим высокую загрузку ЦП со стороны AuditD.
Примечание.
Эта функция существует только для Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Пример использования: sudo ./mde_support_tool.sh ratelimit -e true
Примечание.
Эту функцию следует тщательно использовать, так как ограничивает количество событий, сообщаемых в подсистеме аудита в целом. Это также может уменьшить количество событий для других подписчиков.
AuditD Skip Faulty Rules
Этот параметр позволяет пропускать неисправные правила, добавленные в файл проверенных правил при их загрузке. Этот параметр позволяет подсистеме аудита продолжать загрузку правил даже при наличии неисправного правила. Этот параметр суммирует результаты загрузки правил. В фоновом режиме этот параметр запускает auditctl с параметром -c.
Примечание.
Эта функция доступна только в Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Пример использования: sudo ./mde_support_tool.sh skipfaultyrules -e true
Примечание.
Эта функция будет пропускать неисправные правила. Затем неисправное правило необходимо дополнительно определить и исправить.
Содержимое пакета результатов в macOS и Linux
report.html
Описание: выходной html-файл main, содержащий результаты и рекомендации по запуску средства клиентского анализатора на устройстве. Этот файл создается только при запуске версии клиентского анализатора на основе Python.
mde_diagnostic.zip
Описание: те же выходные данные диагностики, которые создаются при запуске mdatp diagnostic create в macOS или Linux.
mde.xml
Описание: выходные данные XML, которые создаются во время выполнения и используются для создания html-файла отчета.
Processes_information.txt
Описание: содержит сведения о выполнении Microsoft Defender для конечной точки связанных процессов в системе.
Log.txt
Описание: содержит те же сообщения журнала, которые записываются на экране во время сбора данных.
Health.txt
Описание: те же базовые выходные данные работоспособности, которые отображаются при выполнении команды mdatp health .
Events.xml
Описание: дополнительный XML-файл, используемый анализатором при создании HTML-отчета.
Audited_info.txt
Описание: сведения об аудите службы и связанных компонентах для ОС Linux .
perf_benchmark.tar.gz
Описание. Отчеты о тестах производительности. Это будет отображаться только в том случае, если используется параметр производительности.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.