使用实时响应在 Microsoft Defender for Endpoint 中收集支持日志

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

联系支持人员时,系统可能会要求你提供Microsoft Defender for Endpoint客户端分析器工具的输出包。

本主题提供有关如何通过实时响应运行该工具的说明。

  1. Microsoft Defender for Endpoint 客户端分析器的“工具”子目录中下载并提取所需的脚本。
    例如,若要获取基本的传感器和设备运行状况日志,请提取“.”。\Tools\MDELiveAnalyzer.ps1”。
    如果还需要 (MpSupportFiles.cab) Defender 防病毒支持日志,请提取“.”。\Tools\MDELiveAnalyzerAV.ps1”

  2. 在需要调查的计算机上启动 实时响应会话

  3. 选择“ 将文件上传到库”。

    上传文件

  4. 选择“ 选择文件”。

    “选择文件”按钮-1

  5. 选择名为 MDELiveAnalyzer.ps1 下载的文件,然后单击“确认

    “选择文件”按钮-2

  6. 仍处于 LiveResponse 会话中时,请使用以下命令运行分析器并收集结果文件:

    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
    

    命令的图像。

注意

  • 可在此处下载 MDEClientAnalyzer 的最新预览版: https://aka.ms/Betamdeanalyzer

  • LiveAnalyzer 脚本从以下位置下载目标计算机上的故障排除包: https://mdatpclientanalyzer.blob.core.windows.net

    如果无法允许计算机访问上述 URL,请在运行 LiveAnalyzer 脚本之前将 MDEClientAnalyzerPreview.zip 文件上传到库:

    PutFile MDEClientAnalyzerPreview.zip -overwrite
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
    
  • 有关在计算机上本地收集数据的详细信息,以防计算机未与Microsoft Defender for Endpoint云服务通信,或者未按预期显示在Microsoft Defender for Endpoint门户中,请参阅验证客户端连接Microsoft Defender for Endpoint服务 URL

  • 实时响应命令示例中所述,可能需要使用命令末尾的“&”符号来收集日志作为后台操作:

    Run MDELiveAnalyzer.ps1&
    

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区