Aracılığıyla paylaş


macOS ve Linux üzerinde istemci çözümleyicisini çalıştırma

Şunlar için geçerlidir:

XMDEClientAnalyzer, Linux veya macOS çalıştıran yerleşik cihazlarda Uç Nokta için Microsoft Defender sistem durumu veya güvenilirlik sorunlarını tanılamak için kullanılır.

İstemci çözümleyici aracını çalıştırmanın iki yolu vardır:

  1. İkili sürüm kullanma (Python bağımlılığı yok)
  2. Python tabanlı çözüm kullanma

İstemci çözümleyicisinin ikili sürümünü çalıştırma

  1. XMDE İstemci Çözümleyicisi İkili aracını araştırmanız gereken macOS veya Linux makinesine indirin.
    Terminal kullanıyorsanız, aşağıdaki komutu girerek aracı indirin:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
    
  2. İndirmeyi doğrulayın.

    Not

    Bu bağlantıdan indirilen geçerli 'XMDEClientAnalyzerBinary.zip' SHA256 karması: '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF'

    • Linux
    echo '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    • macOS
    echo '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
    
  3. Makinedeki XMDEClientAnalyzerBinary.zip içeriğini ayıklayın.

    Terminal kullanıyorsanız, aşağıdaki komutu girerek dosyaları ayıklayın:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
    
  4. Aşağıdaki komutu girerek aracın dizinine geçin:

    cd XMDEClientAnalyzerBinary
    
  5. Üç yeni zip dosyası oluşturulur:

    • SupportToolLinuxBinary.zip : Tüm Linux cihazları için
    • SupportToolMacOSBinary.zip : Mac cihazlar için
  6. Araştırmanız gereken makineye göre yukarıdaki 2 zip dosyasının sıkıştırmasını açın.
    Terminal kullanırken, işletim sistemi türüne göre aşağıdaki komutlardan birini girerek dosyanın sıkıştırmasını açın:

    • Linux

      unzip -q SupportToolLinuxBinary.zip
      
    • Mac

      unzip -q SupportToolMacOSBinary.zip
      
  7. Tanılama paketi oluşturmak için aracı kök olarak çalıştırın:

    sudo ./MDESupportTool -d
    

Python tabanlı istemci çözümleyicisini çalıştırma

Not

  • Çözümleyici, sonuç çıkışını üretmek için kökteyken işletim sistemine yüklenen birkaç ek PIP paketine (sh, distro, lxml, pandas) bağlıdır. Yüklü değilse, çözümleyici bunu Python paketleri için resmi depodan getirmeye çalışır.

    Uyarı

    Python tabanlı istemci çözümleyicisini çalıştırmak, ortamınızda bazı sorunlara neden olabilecek PIP paketlerinin yüklenmesini gerektirir. Sorunların oluşmasını önlemek için paketleri bir kullanıcı PIP ortamına yüklemeniz önerilir.

  • Ayrıca aracın şu anda Python sürüm 3 veya üzerinin yüklü olması gerekir.

  • Cihazınız bir ara sunucunun arkasındaysa, proxy sunucusunu mde_support_tool.sh betiğine ortam değişkeni olarak geçirebilirsiniz. Mesela:. https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

  1. XMDE İstemci Çözümleyicisi aracını araştırmanız gereken macOS veya Linux makinesine indirin.

    Terminal kullanıyorsanız, aşağıdaki komutu çalıştırarak aracı indirin:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
    
  2. İndirmeyi doğrulama

    • Linux
    echo '799D1C8B24FB826283B9B04B4B503AE3C99A05FE7ADFE25A78A094E231572C4A XMDEClientAnalyzer.zip' | sha256sum -c
    
    • macOS
    echo '799D1C8B24FB826283B9B04B4B503AE3C99A05FE7ADFE25A78A094E231572C4A  XMDEClientAnalyzer.zip' | shasum -a 256 -c
    
  3. Makinedeki XMDEClientAnalyzer.zip içeriğini ayıklayın. Terminal kullanıyorsanız, aşağıdaki komutu kullanarak dosyaları ayıklayın:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
    
  4. Dizini ayıklanan konuma değiştirin.

    cd XMDEClientAnalyzer
    
  5. Ara çubuğuna yürütülebilir izin verin:

    chmod a+x mde_support_tool.sh
    
  6. Gerekli bağımlılıkları yüklemek için kök olmayan bir kullanıcı olarak çalıştırın:

    ./mde_support_tool.sh
    
  7. Gerçek tanılama paketini toplamak ve sonuç arşiv dosyasını oluşturmak için kök olarak yeniden çalıştırın:

    sudo ./mde_support_tool.sh -d
    

Komut satırı seçenekleri

Birincil komut satırları

Makine tanılamasını almak için aşağıdaki komutu kullanın.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Kullanım örneği: sudo ./MDESupportTool -d

NOT: Günlük düzeyi otomatik sıfırlama özelliği yalnızca 2405 veya daha yeni istemci sürümünde kullanılabilir.

Konumsal bağımsız değişkenler

Performans bilgilerini toplama

İsteğe bağlı olarak yeniden oluşturulabilen bir performans senaryosunun analizi için kapsamlı makine performansı izlemesi toplayın.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Kullanım örneği: sudo ./MDESupportTool performance --frequency 2

İşletim sistemi izlemesini kullanma (yalnızca macOS için)

Uç Nokta için Defender performans izlemelerini kaydetmek için işletim sistemi izleme olanaklarını kullanın.

Not

Bu işlev yalnızca Python çözümünde bulunur.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Bu komutu ilk kez çalıştırdıktan sonra bir Profil yapılandırması yükler.

Profil yüklemesini onaylamak için bunu izleyin: Apple Destek Kılavuzu.

Kullanım örneği ./mde_support_tool.sh trace --length 5

Dışlama modu

Audit-d izleme için dışlamalar ekleyin.

Not

Bu işlev yalnızca Linux için mevcuttur.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Kullanım örneği: sudo ./MDESupportTool exclude -d /var/foo/bar

Denetlenen Hız Sınırlayıcısı

auditD eklentisi tarafından bildirilen olay sayısını sınırlamak için kullanılabilecek söz dizimi. Bu seçenek, Tüm denetim olaylarında düşüşe neden olan AuditD için genel olarak hız sınırını ayarlar. Sınırlayıcı etkinleştirildiğinde, denetlenen olayların sayısı 2500 olay/sn ile sınırlıdır. Bu seçenek, AuditD tarafında yüksek CPU kullanımı gördüğümüz durumlarda kullanılabilir.

Not

Bu işlev yalnızca Linux için mevcuttur.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Kullanım örneği: sudo ./mde_support_tool.sh ratelimit -e true

Not

Bu işlev, denetlenen alt sistem tarafından bir bütün olarak bildirilen olay sayısını sınırlar olarak dikkatle kullanılmalıdır. Bu, diğer abonelerin olay sayısını da azaltabilir.

Denetimli Hatalı Kuralları Atla

Bu seçenek, denetim kuralları dosyasına eklenen hatalı kuralları yüklerken atlamanızı sağlar. Bu seçenek, hatalı bir kural olsa bile denetlenen alt sistemin kuralları yüklemeye devam etmesini sağlar. Bu seçenek, kuralları yüklemenin sonuçlarını özetler. Arka planda, bu seçenek -c seçeneğiyle auditctl'i çalıştırır.

Not

Bu işlev yalnızca Linux'ta kullanılabilir.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Kullanım örneği: sudo ./mde_support_tool.sh skipfaultyrules -e true

Not

Bu işlev hatalı kuralları atlar. Daha sonra hatalı kuralın daha fazla tanımlanması ve düzeltilmesi gerekir.

macOS ve Linux'ta sonuç paketi içeriği

  • report.html

    Açıklama: Cihazda istemci çözümleyici aracını çalıştırma bulgularını ve yönergelerini içeren ana HTML çıkış dosyası. Bu dosya yalnızca istemci çözümleyici aracının Python tabanlı sürümü çalıştırılırken oluşturulur.

  • mde_diagnostic.zip

    Açıklama: macOS veya Linux üzerinde mdatp tanılama oluşturma çalıştırılırken oluşturulan tanılama çıkışının aynısı.

  • mde.xml

    Açıklama: Çalıştırılırken oluşturulan ve html rapor dosyasını derlemek için kullanılan XML çıkışı.

  • Processes_information.txt

    Açıklama: Sistemde çalışan Uç Nokta için Microsoft Defender ile ilgili işlemlerin ayrıntılarını içerir.

  • Log.txt

    Açıklama: Veri toplama sırasında ekrana yazılan günlük iletilerinin aynısını içerir.

  • Health.txt

    Açıklama: mdatp health komutu çalıştırılırken gösterilen temel sistem durumu çıktısının aynısı.

  • Events.xml

    Açıklama: ÇÖZÜMleyici tarafından HTML raporu oluştururken kullanılan ek XML dosyası.

  • Audited_info.txt

    Açıklama: Linux işletim sistemi için denetlenen hizmet ve ilgili bileşenlerle ilgili ayrıntılar.

  • perf_benchmark.tar.gz

    Açıklama: Performans testi raporları. Bunu yalnızca performans parametresini kullanıyorsanız görürsünüz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.