Запуск анализатора клиента в macOS и Linux
Область применения:
XMDEClientAnalyzer используется для диагностики проблем работоспособности или надежности Microsoft Defender для конечной точки на подключенных устройствах под управлением Linux или macOS.
Существует два способа запуска клиентского анализатора.
- Использование двоичной версии (без зависимости Python)
- Использование решения на основе Python
Запуск двоичной версии клиентского анализатора
Скачайте двоичный инструмент анализатора клиента XMDE на компьютер macOS или Linux, который требуется изучить.
Если вы используете терминал, скачайте средство, введя следующую команду:wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
Проверьте скачивание.
Примечание.
Текущий хэш SHA256 "XMDEClientAnalyzerBinary.zip", скачанный по этой ссылке: "9D0552DBBD1693D2E2ED55F36147019CFE76BAC4186CF03CD691B469".
- Linux
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c
- macOS
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
Извлеките содержимое XMDEClientAnalyzerBinary.zip на компьютере.
Если вы используете терминал, извлеките файлы, введя следующую команду:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
Перейдите в каталог средства, введя следующую команду:
cd XMDEClientAnalyzerBinary
Создаются три новых ZIP-файла:
- SupportToolLinuxBinary.zip : для всех устройств Linux
- SupportToolMacOSBinary.zip : для устройств Mac
Распакуйте один из приведенных выше 2 ZIP-файла на основе компьютера, который необходимо исследовать.
При использовании терминала распакуйте файл, введя одну из следующих команд в зависимости от типа ОС:Linux
unzip -q SupportToolLinuxBinary.zip
Mac
unzip -q SupportToolMacOSBinary.zip
Запустите средство от имени root , чтобы создать диагностический пакет:
sudo ./MDESupportTool -d
Запуск клиентского анализатора на основе Python
Примечание.
Анализатор зависит от нескольких дополнительных пакетов PIP (sh, дистрибутив, lxml, pandas), которые устанавливаются в ОС в корневом каталоге для получения выходных данных результата. Если он не установлен, анализатор попытается получить его из официального репозитория для пакетов Python.
Предупреждение
Для запуска клиентского анализатора на основе Python требуется установка пакетов PIP, что может вызвать некоторые проблемы в вашей среде. Чтобы избежать возникновения проблем, рекомендуется установить пакеты в пользовательской среде PIP.
Кроме того, в настоящее время для этого средства требуется установить Python версии 3 или более поздней.
Если устройство находится за прокси-сервером, можно просто передать прокси-сервер в качестве переменной среды в скрипт mde_support_tool.sh. Например:.
https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
Скачайте средство анализатора клиента XMDE на компьютер macOS или Linux, который требуется изучить.
Если вы используете терминал, скачайте средство, выполнив следующую команду:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
Проверка загрузки
- Linux
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c
- macOS
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | shasum -a 256 -c
Извлеките содержимое XMDEClientAnalyzer.zip на компьютере.
Если вы используете терминал, извлеките файлы с помощью следующей команды:unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
Измените каталог на извлеченное расположение.
cd XMDEClientAnalyzer
Предоставьте исполняемому файлу средства разрешение:
chmod a+x mde_support_tool.sh
Запустите от имени пользователя, не являющегося корневым, чтобы установить необходимые зависимости:
./mde_support_tool.sh
Чтобы собрать фактический пакет диагностики и создать архивный файл результата, снова выполните команду от имени root:
sudo ./mde_support_tool.sh -d
Параметры командной строки
Основные командные строки
Используйте следующую команду, чтобы получить диагностику компьютера.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Пример использования: sudo ./MDESupportTool -d
Позиционные аргументы
Сбор сведений о производительности
Соберите обширную трассировку производительности компьютера для анализа сценария производительности, который можно воспроизвести по запросу.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Пример использования: sudo ./MDESupportTool performance --frequency 2
Использование трассировки ОС (только для macOS)
Используйте средства трассировки ОС для записи трассировок производительности Defender для конечной точки.
Примечание.
Эта функция существует только в решении Python.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
При первом выполнении этой команды устанавливается конфигурация профиля.
Следуйте этой инструкции, чтобы утвердить установку профиля: Руководство по поддержке Apple.
Пример использования ./mde_support_tool.sh trace --length 5
Режим исключения
Добавьте исключения для мониторинга audit-d.
Примечание.
Эта функция существует только для Linux.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Пример использования: sudo ./MDESupportTool exclude -d /var/foo/bar
AuditD Rate Limiter
Синтаксис, который можно использовать для ограничения количества событий, сообщаемых подключаемым модулем auditD. Этот параметр глобально задает ограничение скорости для AuditD, вызывая падение всех событий аудита. Если ограничитель включен, количество событий аудита ограничено 2500 событиями в секунду. Этот параметр можно использовать в тех случаях, когда мы видим высокую загрузку ЦП со стороны AuditD.
Примечание.
Эта функция существует только для Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Пример использования: sudo ./mde_support_tool.sh ratelimit -e true
Примечание.
Эту функцию следует тщательно использовать, так как ограничивает количество событий, сообщаемых в подсистеме аудита в целом. Это также может уменьшить количество событий для других подписчиков.
AuditD Skip Faulty Rules
Этот параметр позволяет пропускать неисправные правила, добавленные в файл проверенных правил при их загрузке. Этот параметр позволяет подсистеме аудита продолжать загрузку правил даже при наличии неисправного правила. Этот параметр суммирует результаты загрузки правил. В фоновом режиме этот параметр запускает auditctl с параметром -c.
Примечание.
Эта функция доступна только в Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Пример использования: sudo ./mde_support_tool.sh skipfaultyrules -e true
Примечание.
Эта функция будет пропускать неисправные правила. Затем неисправное правило необходимо дополнительно определить и исправить.
Содержимое пакета результатов в macOS и Linux
report.html
Описание: выходной html-файл main, содержащий результаты и рекомендации, которые может создать скрипт анализатора, выполняемый на компьютере.
mde_diagnostic.zip
Описание: те же выходные данные диагностики, которые создаются при запуске mdatp diagnostic create в macOS или Linux.
mde.xml
Описание: выходные данные XML, которые создаются во время выполнения и используются для создания html-файла отчета.
Processes_information.txt
Описание: содержит сведения о выполнении Microsoft Defender для конечной точки связанных процессов в системе.
Log.txt
Описание: содержит те же сообщения журнала, которые записываются на экране во время сбора данных.
Health.txt
Описание: те же базовые выходные данные работоспособности, которые отображаются при выполнении команды mdatp health .
Events.xml
Описание: дополнительный XML-файл, используемый анализатором при создании HTML-отчета.
Audited_info.txt
Описание: сведения об аудите службы и связанных компонентах для ОС Linux .
perf_benchmark.tar.gz
Описание. Отчеты о тестах производительности. Это будет отображаться только в том случае, если используется параметр производительности.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по