Samla in supportloggar i Microsoft Defender för Endpoint med livesvar
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
När du kontaktar supporten kan du bli ombedd att ange utdatapaketet för verktyget Microsoft Defender för Endpoint Client Analyzer.
Den här artikeln innehåller instruktioner om hur du kör verktyget via Live Response i Windows och på Linux-datorer.
Windows
Ladda ned och hämta de skript som krävs som är tillgängliga från underkatalogen Verktygi Microsoft Defender för Endpoint Client Analyzer.
Om du till exempel vill hämta de grundläggande sensor- och enhetshälsologgarna hämtar du
..\Tools\MDELiveAnalyzer.ps1.Om du också behöver microsoft Defender Antivirus-supportloggar (
MpSupportFiles.cab) hämtar..\Tools\MDELiveAnalyzerAV.ps1du .Starta en livesvarssession på den dator som du behöver undersöka.
Välj Ladda upp fil till bibliotek.
Välj Välj fil.
Välj den nedladdade filen med namnet
MDELiveAnalyzer.ps1och välj sedan Bekräfta.
Medan du fortfarande är i LiveResponse-sessionen använder du följande kommandon för att köra analysatorn och samla in den resulterande filen.
Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
Ytterligare information
Den senaste förhandsversionen av MDEClientAnalyzer kan laddas ned här: https://aka.ms/Betamdeanalyzer.
LiveAnalyzer-skriptet laddar ned felsökningspaketet på måldatorn från:
https://mdatpclientanalyzer.blob.core.windows.net.Om du inte kan tillåta att datorn når ovanstående URL laddar du upp
MDEClientAnalyzerPreview.zipfilen till biblioteket innan du kör LiveAnalyzer-skriptet:PutFile MDEClientAnalyzerPreview.zip -overwrite Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"Mer information om hur du samlar in data lokalt på en dator om datorn inte kommunicerar med Microsoft Defender för Endpoint-molntjänster eller inte visas i Microsoft Defender för Endpoint-portalen som förväntat finns i Verifiera klientanslutningen till URL:er för Microsoft Defender för Endpoint-tjänsten.
Som beskrivs i exempel på live-svarskommandon kanske du vill använda symbolen
&i slutet av kommandot för att samla in loggar som en bakgrundsåtgärd:Run MDELiveAnalyzer.ps1&
Linux
Verktyget XMDE Client Analyzer kan laddas ned som ett binärt paket eller Ett Python-paket som kan extraheras och köras på Linux-datorer. Båda versionerna av XMDE Client Analyzer kan köras under en livesvarssession.
Förutsättningar
För installation
unzipkrävs paketet.För körning
aclkrävs paketet.
Viktigt
Window använder de osynliga tecknen Vagnretur och Radmatning för att representera slutet på en rad och början av en ny rad i en fil, men Linux-system använder endast det osynliga tecknet Line Feed i slutet av filraderna. Om du använder följande skript i Windows kan den här skillnaden resultera i fel och fel i skripten som ska köras. En möjlig lösning på detta är att använda Windows-undersystemet för Linux och dos2unix paketet för att formatera om skriptet så att det överensstämmer med Unix- och Linux-formatstandarden.
Installera XMDE-klientanalyseraren
Båda versionerna av XMDE Client Analyzer, binär och Python, ett fristående paket som måste laddas ned och extraheras innan du kör, och den fullständiga uppsättningen steg för den här processen finns:
På grund av de begränsade kommandon som är tillgängliga i Live Response måste de detaljerade stegen köras i ett bash-skript, och genom att dela upp installations- och körningsdelen av dessa kommandon går det att köra installationsskriptet en gång, medan körningsskriptet körs flera gånger.
Viktigt
Exempelskripten förutsätter att datorn har direkt Internetåtkomst och kan hämta XMDE Client Analyzer från Microsoft. Om datorn inte har direkt Internetåtkomst måste installationsskripten uppdateras för att hämta XMDE-klientanalysen från en plats som datorerna kan komma åt.
Installationsskript för analys av binär klient
Följande skript utför de första sex stegen i köra den binära versionen av client analyzer. När det är klart är binärfilen XMDE Client Analyzer tillgänglig från /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer katalogen.
Skapa en bash-fil
InstallXMDEClientAnalyzer.shoch klistra in följande innehåll i den.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
Installationsskript för Python Client Analyzer
Följande skript utför de första sex stegen i Köra Python-versionen av Client Analyzer. När det är klart är Python-skripten för XMDE Client Analyzer tillgängliga från /tmp/XMDEClientAnalyzer katalogen.
Skapa en bash-fil
InstallXMDEClientAnalyzer.shoch klistra in följande innehåll i den.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
Köra installationsskript för Client Analyzer
Starta en livesvarssession på den dator som du behöver undersöka.
Välj Ladda upp fil till bibliotek.
Välj Välj fil.
Välj den nedladdade filen med namnet
InstallXMDEClientAnalyzer.shoch välj sedan Bekräfta.När du fortfarande är i LiveResponse-sessionen använder du följande kommandon för att installera analysatorn:
run InstallXMDEClientAnalyzer.sh
Köra XMDE-klientanalys
Live Response stöder inte direkt körning av XMDE-klientanalys eller Python, så det krävs ett körningsskript.
Viktigt
Följande skript förutsätter att XMDE Client Analyzer installerades på samma platser från skripten som nämndes tidigare. Om din organisation har valt att installera skripten på en annan plats måste följande skript uppdateras så att de överensstämmer med organisationens valda installationsplats.
Kör skript för analys av binär klient
Binary Client Analyzer accepterar kommandoradsparametrar för att utföra olika analystester. För att tillhandahålla liknande funktioner under Live Response utnyttjar $@ körningsskriptet bash-variabeln för att skicka alla indataparametrar som tillhandahålls till skriptet till XMDE Client Analyzer.
Skapa en bash-fil
MDESupportTool.shoch klistra in följande innehåll i den.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
Körningsskript för Python Client Analyzer
Python Client Analyzer accepterar kommandoradsparametrar för att utföra olika analystester. För att tillhandahålla liknande funktioner under Live Response utnyttjar $@ körningsskriptet bash-variabeln för att skicka alla indataparametrar som tillhandahålls till skriptet till XMDE Client Analyzer.
Skapa en bash-fil
MDESupportTool.shoch klistra in följande innehåll i den.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
Köra client analyzer-skriptet
Obs!
Om du har en aktiv livesvarssession kan du hoppa över steg 1.
Starta en livesvarssession på den dator som du behöver undersöka.
Välj Ladda upp fil till bibliotek.
Välj Välj fil.
Välj den nedladdade filen med namnet
MDESupportTool.shoch välj sedan Bekräfta.När du fortfarande är i livesvarssessionen använder du följande kommandon för att köra analysatorn och samla in den resulterande filen.
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
Se även
- Client analyzer översikt
- Ladda ned och kör client analyzer
- Kör client analyzer i Windows
- Kör client analyzer på macOS eller Linux
- Data-samling för avancerad felsökning i Windows
- Förstå HTML-rapporten för analysen
Tips
Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.