Share via


macOS ve Linux üzerinde istemci çözümleyicisini çalıştırma

Şunlar için geçerlidir:

XMDEClientAnalyzer, Linux veya macOS çalıştıran yerleşik cihazlarda Uç Nokta için Microsoft Defender sistem durumu veya güvenilirlik sorunlarını tanılamak için kullanılır.

İstemci çözümleyici aracını çalıştırmanın iki yolu vardır:

  1. İkili sürüm kullanma (Python bağımlılığı yok)
  2. Python tabanlı çözüm kullanma

İstemci çözümleyicisinin ikili sürümünü çalıştırma

  1. XMDE İstemci Çözümleyicisi İkili aracını araştırmanız gereken macOS veya Linux makinesine indirin.
    Terminal kullanıyorsanız, aşağıdaki komutu girerek aracı indirin:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
    
  2. İndirmeyi doğrulayın.

    Not

    Bu bağlantıdan indirilen geçerli 'XMDEClientAnalyzerBinary.zip' SHA256 karması: '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469'

    • Linux
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    • macOS
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
    
  3. Makinedeki XMDEClientAnalyzerBinary.zip içeriğini ayıklayın.

    Terminal kullanıyorsanız, aşağıdaki komutu girerek dosyaları ayıklayın:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
    
  4. Aşağıdaki komutu girerek aracın dizinine geçin:

    cd XMDEClientAnalyzerBinary
    
  5. Üç yeni zip dosyası oluşturulur:

    • SupportToolLinuxBinary.zip : Tüm Linux cihazları için
    • SupportToolMacOSBinary.zip : Mac cihazlar için
  6. Araştırmanız gereken makineye göre yukarıdaki 2 zip dosyasının sıkıştırmasını açın.
    Terminal kullanırken, işletim sistemi türüne göre aşağıdaki komutlardan birini girerek dosyanın sıkıştırmasını açın:

    • Linux

      unzip -q SupportToolLinuxBinary.zip
      
    • Mac

      unzip -q SupportToolMacOSBinary.zip
      
  7. Tanılama paketi oluşturmak için aracı kök olarak çalıştırın:

    sudo ./MDESupportTool -d
    

Python tabanlı istemci çözümleyicisini çalıştırma

Not

  • Çözümleyici, sonuç çıkışını üretmek için kökteyken işletim sistemine yüklenen birkaç ek PIP paketine (sh, distro, lxml, pandas) bağlıdır. Yüklü değilse, çözümleyici bunu Python paketleri için resmi depodan getirmeye çalışır.

    Uyarı

    Python tabanlı istemci çözümleyicisini çalıştırmak, ortamınızda bazı sorunlara neden olabilecek PIP paketlerinin yüklenmesini gerektirir. Sorunların oluşmasını önlemek için paketleri bir kullanıcı PIP ortamına yüklemeniz önerilir.

  • Ayrıca aracın şu anda Python sürüm 3 veya üzerinin yüklü olması gerekir.

  • Cihazınız bir ara sunucunun arkasındaysa, proxy sunucusunu mde_support_tool.sh betiğine ortam değişkeni olarak geçirebilirsiniz. Örneğin: . https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

  1. XMDE İstemci Çözümleyicisi aracını araştırmanız gereken macOS veya Linux makinesine indirin.

    Terminal kullanıyorsanız, aşağıdaki komutu çalıştırarak aracı indirin:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
    
  2. İndirmeyi doğrulama

    • Linux
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c
    
    • macOS
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66  XMDEClientAnalyzer.zip' | shasum -a 256 -c
    
  3. Makinedeki XMDEClientAnalyzer.zip içeriğini ayıklayın.
    Terminal kullanıyorsanız, aşağıdaki komutu kullanarak dosyaları ayıklayın:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
    
  4. Dizini ayıklanan konuma değiştirin.

    cd XMDEClientAnalyzer
    
  5. Ara çubuğuna yürütülebilir izin verin:

    chmod a+x mde_support_tool.sh
    
  6. Gerekli bağımlılıkları yüklemek için kök olmayan bir kullanıcı olarak çalıştırın:

    ./mde_support_tool.sh
    
  7. Gerçek tanılama paketini toplamak ve sonuç arşiv dosyasını oluşturmak için kök olarak yeniden çalıştırın:

    sudo ./mde_support_tool.sh -d
    

Komut satırı seçenekleri

Birincil komut satırları

Makine tanılamasını almak için aşağıdaki komutu kullanın.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Kullanım örneği: sudo ./MDESupportTool -d

Konumsal bağımsız değişkenler

Performans bilgilerini toplama

İsteğe bağlı olarak yeniden oluşturulabilen bir performans senaryosunun analizi için kapsamlı makine performansı izlemesi toplayın.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Kullanım örneği: sudo ./MDESupportTool performance --frequency 2

İşletim sistemi izlemesini kullanma (yalnızca macOS için)

Uç Nokta için Defender performans izlemelerini kaydetmek için işletim sistemi izleme olanaklarını kullanın.

Not

Bu işlev yalnızca Python çözümünde bulunur.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Bu komutu ilk kez çalıştırdıktan sonra bir Profil yapılandırması yükler.

Profil yüklemesini onaylamak için bunu izleyin: Apple Destek Kılavuzu.

Kullanım örneği ./mde_support_tool.sh trace --length 5

Dışlama modu

Audit-d izleme için dışlamalar ekleyin.

Not

Bu işlev yalnızca Linux için mevcuttur.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Kullanım örneği: sudo ./MDESupportTool exclude -d /var/foo/bar

Denetlenen Hız Sınırlayıcısı

auditD eklentisi tarafından bildirilen olay sayısını sınırlamak için kullanılabilecek söz dizimi. Bu seçenek, Tüm denetim olaylarında düşüşe neden olan AuditD için genel olarak hız sınırını ayarlar. Sınırlayıcı etkinleştirildiğinde, denetlenen olayların sayısı 2500 olay/sn ile sınırlıdır. Bu seçenek, AuditD tarafında yüksek CPU kullanımı gördüğümüz durumlarda kullanılabilir.

Not

Bu işlev yalnızca Linux için mevcuttur.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Kullanım örneği: sudo ./mde_support_tool.sh ratelimit -e true

Not

Bu işlev, denetlenen alt sistem tarafından bir bütün olarak bildirilen olay sayısını sınırlar olarak dikkatle kullanılmalıdır. Bu, diğer abonelerin olay sayısını da azaltabilir.

Denetimli Hatalı Kuralları Atla

Bu seçenek, denetim kuralları dosyasına eklenen hatalı kuralları yüklerken atlamanızı sağlar. Bu seçenek, hatalı bir kural olsa bile denetlenen alt sistemin kuralları yüklemeye devam etmesini sağlar. Bu seçenek, kuralları yüklemenin sonuçlarını özetler. Arka planda, bu seçenek -c seçeneğiyle auditctl'i çalıştırır.

Not

Bu işlev yalnızca Linux'ta kullanılabilir.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Kullanım örneği: sudo ./mde_support_tool.sh skipfaultyrules -e true

Not

Bu işlev hatalı kuralları atlar. Daha sonra hatalı kuralın daha fazla tanımlanması ve düzeltilmesi gerekir.

macOS ve Linux'ta sonuç paketi içeriği

  • report.html

    Açıklama: Çözümleyici betiğinin makinede çalıştırabileceği bulguları ve yönergeleri içeren ana HTML çıkış dosyası.

  • mde_diagnostic.zip

    Açıklama: macOS veya Linux üzerinde mdatp tanılama oluşturma çalıştırılırken oluşturulan tanılama çıkışının aynısı.

  • mde.xml

    Açıklama: Çalıştırılırken oluşturulan ve html rapor dosyasını derlemek için kullanılan XML çıkışı.

  • Processes_information.txt

    Açıklama: Sistemdeki çalışan Uç Nokta için Microsoft Defender ilgili işlemlerin ayrıntılarını içerir.

  • Log.txt

    Açıklama: Veri toplama sırasında ekrana yazılan günlük iletilerinin aynısını içerir.

  • Health.txt

    Açıklama: mdatp health komutu çalıştırılırken gösterilen temel sistem durumu çıktısının aynısı.

  • Events.xml

    Açıklama: ÇÖZÜMleyici tarafından HTML raporu oluştururken kullanılan ek XML dosyası.

  • Audited_info.txt

    Açıklama: Linux işletim sistemi için denetlenen hizmet ve ilgili bileşenlerle ilgili ayrıntılar.

  • perf_benchmark.tar.gz

    Açıklama: Performans testi raporları. Bunu yalnızca performans parametresini kullanıyorsanız görürsünüz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.