İstemci çözümleyicisini Windows’da çalıştırın

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender Planı 2

1. Seçenek: Canlı yanıt

Canlı Yanıt'ı kullanarak Uç Nokta için Defender çözümleyicisi destek günlüklerini uzaktan toplayabilirsiniz.

Seçenek 2: MDE İstemci Çözümleyicisi'ni yerel olarak çalıştırma

1. araştırmak istediğiniz Windows cihazına MDE İstemci Çözümleyicisi aracını veya Beta MDE İstemci Çözümleyicisi aracını indirin.

   Dosya varsayılan olarak İndirilenler klasörünüze kaydedilir.

2. MDEClientAnalyzer.zip içeriğini kullanılabilir bir klasöre ayıklayın.

3. Yönetici izinlerine sahip bir komut satırı açın:

   1. Başlangıç'a gidin ve cmd yazın.
   2. Komut istemi'ne sağ tıklayın ve Yönetici olarak çalıştır'ı seçin.

4. Aşağıdaki komutu yazın ve Enter tuşuna basın:

   *DrivePath*\MDEClientAnalyzer.cmd
   

   DrivePath'i MDEClientAnalyzer ayıkladığınız yolla değiştirin, örneğin:

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

Önceki yordama ek olarak, canlı yanıt kullanarak çözümleyici destek günlüklerini de toplayabilirsiniz..

Not

Windows 10 ve 11, Windows Server 2019 ve 2022 veya Windows Server 2012R2 ve 2016'da modern birleşik çözümün yüklü olduğu istemci çözümleyici betiği, bulut hizmeti URL'lerine bağlantı testlerini çalıştırmak için adlı MDEClientAnalyzer.exe yürütülebilir bir dosyaya çağrır.

Windows 8.1, Windows Server 2016 veya ekleme için Microsoft Monitoring Agent'ın (MMA) kullanıldığı herhangi bir işletim sistemi sürümünde istemci çözümleyicisi betiği, Komut ve Denetim (CnC) URL'leri için bağlantı testleri çalıştırmak üzere adlı MDEClientAnalyzerPreviousVersion.exe yürütülebilir bir dosyaya çağrı yaparken, Siber Veri kanalı URL'leri için Microsoft Monitoring Agent bağlantı aracına TestCloudConnection.exe da çağrıda bulunur.

Dikkat edilmesi gereken önemli noktalar

Çözümleyiciye dahil edilen tüm PowerShell betikleri ve modülleri Microsoft tarafından imzalandı. Dosyalar herhangi bir şekilde değiştirildiyse çözümleyicinin aşağıdaki hatayla çıkması beklenir:

Bu hatayı görürseniz, issuerInfo.txt çıktısı bunun neden oluştuğu ve etkilenen dosya hakkında ayrıntılı bilgiler içerir:

MDEClientAnalyzer.ps1 değiştirildikten sonra örnek içerik:

Windows'ta sonuç paketi içeriği

Not

Yakalanan dosyaların tam olarak değişmesi, aşağıdakiler gibi faktörlere bağlı olarak değişebilir:

• Çözümleyicinin çalıştırıldığı pencerelerin sürümü.
• Makinede olay günlüğü kanalı kullanılabilirliği.
• EDR algılayıcısının başlangıç durumu (Makine henüz eklenmemişse Akıllı durdurulur).
• Çözümleyici komutuyla gelişmiş bir sorun giderme parametresi kullanıldıysa.

Paketlenmemiş MDEClientAnalyzerResult.zip dosyası varsayılan olarak aşağıdaki öğeleri içerir.

• MDEClientAnalyzer.htm

  Bu, çözümleyici betiğinin makinede çalıştırabileceği bulguları ve yönergeleri içeren ana HTML çıkış dosyasıdır.

• SystemInfoLogs [Klasör]

  • AddRemovePrograms.csv

    Açıklama: Kayıt defterinden toplanan x64 işletim sistemindeki x64 yüklü yazılımların listesi.

  • AddRemoveProgramsWOW64.csv

    Açıklama: Kayıt defterinden toplanan x64 işletim sistemindeki x86 yüklü yazılımların listesi.

    • CertValidate.log

      Açıklama: CertUtil'e çağrılarak yürütülen sertifika iptalinden ayrıntılı sonuç.

    • dsregcmd.txt

      Açıklama: dsregcmd çalıştırılan çıktı. Bu, makinenin Microsoft Entra durumu hakkında ayrıntılar sağlar.

    • IFEO.txt

      Açıklama: Makinede yapılandırılan Görüntü Dosyası Yürütme Seçeneklerinin çıkışı

    • MDEClientAnalyzer.txt

      Açıklama: Bu, çözümleyici betiği yürütme ayrıntılarıyla birlikte gösterilen ayrıntılı metin dosyasıdır.

    • MDEClientAnalyzer.xml

      Açıklama: Çözümleyici betik bulgularını içeren XML biçimi.

    • RegOnboardedInfoCurrent.Json

      Açıklama: Kayıt defterinden JSON biçiminde toplanan eklenen makine bilgileri.

  • RegOnboardingInfoPolicy.Json

    Açıklama: Kayıt defterinden JSON biçiminde toplanan ekleme ilkesi yapılandırması.

    • SCHANNEL.txt

      Açıklama: Kayıt defterinden toplanan makineye uygulanan SCHANNEL yapılandırmasıyla ilgili ayrıntılar.

    • SessionManager.txt

      Açıklama: Oturum Yöneticisi'ne özgü ayarlar kayıt defterinden toplanır.

    • SSL_00010002.txt

      Açıklama: Kayıt defterinden toplanan makineye uygulanan SSL yapılandırmasıyla ilgili ayrıntılar.

• EventLogs [Klasör]

  • utc.evtx

    Açıklama: DiagTrack olay günlüğünü dışarı aktarma

  • senseIR.evtx

    Açıklama: Otomatik Araştırma olay günlüğünü dışarı aktarma

  • sense.evtx

    Açıklama: Algılayıcı ana olay günlüğünü dışarı aktarma

  • OperationsManager.evtx

    Açıklama: Microsoft Monitoring Agent olay günlüğünü dışarı aktarma

• MdeConfigMgrLogs [Klasör]

  • SecurityManagementConfiguration.json

    Açıklama: Zorlama için MEM'den (Microsoft Endpoint Manager) gönderilen yapılandırmalar.

  • policies.json

    Açıklama: Cihazda zorunlu kılınacak ilke ayarları.

  • report_xxx.json

    Açıklama: İlgili zorlama sonuçları.

Ayrıca bkz.

• İstemci çözümleyicisine genel bakış
• İstemci çözümleyicisini indirin ve çalıştırın
• Windows'da gelişmiş sorun giderme için veri toplama
• Çözümleyici HTML raporunu inceleyin

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.