本文提供解決問題或在 Linux 上設定 適用於端點的 Microsoft Defender 的資源。 本文說明如何收集診斷資訊、記錄安裝問題,以及使用命令列在 Linux 上設定 Defender for Endpoint。 本文也說明如何在 Linux 上卸載 Defender for Endpoint。
收集診斷資訊
提示
在裝置上執行 Defender for Endpoint 用戶端分析器,並使用即時回應或本地,從 Linux 上的 Defender for Endpoint 收集診斷資訊。
如果你能重現問題,先提高日誌等級,讓系統運行一段時間,然後再把日誌等級恢復到預設值。
提高伐木層:
mdatp log level set --level debugLog level configured successfully重現問題。
執行以下指令來備份 Defender for Endpoint 的日誌。 檔案會儲存在 .zip 檔案庫中。
sudo mdatp diagnostic create此指令也會在操作成功後,列印備份的檔案路徑:
Diagnostic file created: <path to file>還原日誌等級:
mdatp log level set --level infoLog level configured successfully
日誌安裝問題
若安裝過程中發生錯誤,安裝人員只會回報一般故障。
詳細日誌會儲存在 /var/log/microsoft/mdatp/install.log。
如果您在安裝過程中遇到問題,請將此檔案寄給我們,讓我們協助診斷原因。
從命令列設定
重要任務,如控制產品設定及觸發隨需掃描,皆可由命令列完成。
全域期權
預設情況下,命令列工具會以人類可讀格式輸出結果。 此外,該工具也支援輸出結果為 JSON,這對於自動化場景非常有用。 要將輸出改成 JSON,請執行 --output json 以下任一指令。
支援命令
下表列出一些最常見情境的指令。 從終端機執行 mdatp help 即可查看完整的支援指令清單。
| Group | 案例 | 命令 |
|---|---|---|
| 組態 | 開啟/關閉即時保護 | mdatp config real-time-protection --value [enabled\|disabled] |
| 組態 | 開啟/關閉行為監控 | mdatp config behavior-monitoring --value [enabled\|disabled] |
| 組態 | 開啟/關閉雲端保護 | mdatp config cloud --value [enabled\|disabled] |
| 組態 | 開啟/關閉產品診斷 | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| 組態 | 自動提交的開關 | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| 組態 | 開啟/關閉防毒被動模式 | mdatp config passive-mode --value [enabled\|disabled] |
| 組態 | 新增或移除檔案副檔名的防毒排除 | mdatp exclusion extension [add\|remove] --name [extension] |
| 組態 | 新增或移除檔案的防毒排除 | mdatp exclusion file [add\|remove] --path [path-to-file] |
| 組態 | 新增/移除目錄的防毒排除 | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| 組態 | 新增/移除某個程序的防毒排除 | mdatp exclusion process [add\|remove] --path [path-to-process] |
| 組態 | 新增/移除檔案的全域排除 | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| 組態 | 新增/移除目錄的全域排除 | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| 組態 | 新增/移除程序的全域排除 | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| 組態 | 列出所有防毒軟體排除項目 | mdatp exclusion list |
| 組態 | 將威脅名稱加入允許清單 | mdatp threat allowed add --name [threat-name] |
| 組態 | 從允許清單中移除威脅名稱 | mdatp threat allowed remove --name [threat-name] |
| 組態 | 列出所有允許的威脅名稱 | mdatp threat allowed list |
| 組態 | 開啟PUA保護 | mdatp threat policy set --type potentially_unwanted_application --action block |
| 組態 | 關閉PUA保護 | mdatp threat policy set --type potentially_unwanted_application --action off |
| 組態 | 開啟審核模式以保護 PUA | mdatp threat policy set --type potentially_unwanted_application --action audit |
| 組態 | 設定按需掃描的平行程度 | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| 組態 | 安全情報更新後開啟/關閉掃描 | mdatp config scan-after-definition-update --value [enabled/disabled] |
| 組態 | 啟用/關閉檔案掃描 (僅需按需掃描) | mdatp config scan-archives --value [enabled/disabled] |
| 組態 | 開啟/關閉檔案雜湊計算 | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| 診斷 | 改變對數層級 | mdatp log level set --level verbose [error|warning|info|verbose] |
| 診斷 | 產生診斷日誌 | mdatp diagnostic create --path [directory] |
| 診斷 | 保留產品日誌的大小限制 | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| 健康情況 | 檢查產品的健康狀況 | mdatp health |
| 保護 | 掃描路徑 | mdatp scan custom --path [path] [--ignore-exclusions] |
| 保護 | 快速掃描一下 | mdatp scan quick |
| 保護 | 做個完整掃描 | mdatp scan full |
| 保護 | 取消正在進行的隨選掃描 | mdatp scan cancel |
| 保護 | 請求安全情報更新 | mdatp definitions update |
| 保護 | 回滾安全情報至原始預設集合 | mdatp definitions restore |
| 保護歷史 | 列印完整的保護歷史 | mdatp threat list |
| 保護歷史 | 取得威脅細節 | mdatp threat get --id [threat-id] |
| 檢疫管理 | 列出所有隔離檔案 | mdatp threat quarantine list |
| 檢疫管理 | 將所有檔案從隔離區移除 | mdatp threat quarantine remove-all |
| 檢疫管理 | 新增一個被偵測為威脅的檔案,進入隔離區 | mdatp threat quarantine add --id [threat-id] |
| 檢疫管理 | 將被偵測為威脅的檔案從隔離區移除 | mdatp threat quarantine remove --id [threat-id] |
| 檢疫管理 | 從隔離區還原一個檔案。 可在 Defender for Endpoint 版本中取得,早 101.23092.0012於 。 |
mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| 檢疫管理 | 從隔離區還原一個帶有威脅識別碼的檔案。 可在 Defender for Endpoint 版本或更高版本 101.23092.0012 中取得。 |
mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| 檢疫管理 | 用 Threat Original Path 還原隔離區的檔案。 可在 Defender for Endpoint 版本或更高版本 101.23092.0012 中取得。 |
mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| 端點偵測及回應 | 預定提前預覽 | mdatp edr early-preview [enabled\|disabled] |
| 端點偵測及回應 | 集合群組識別碼 | mdatp edr group-ids --group-id [group-id] |
| 端點偵測及回應 | 設定/移除標籤,僅 GROUP 支援 |
mdatp edr tag set --name GROUP --value [tag] |
Quarantine directory for Defender for Endpoint Linux
MDATP 隔離檔案的預設目錄為 /var/opt/microsoft/mdatp/quarantine。 為了達到最佳效果,建議使用管理隔離檔案的指令 MDATP threat quarantine ,而不是直接在隔離目錄中移動或修改檔案。 不建議直接進行檔案操作——請務必使用 CLI 來安全且支援隔離管理。