如果您在 Linux 上使用 適用於端點的 Microsoft Defender 並需要支援,可能會被要求提供用戶端分析工具的輸出。 它是一款診斷工具,幫助管理員和支援團隊排除 適用於端點的 Microsoft Defender 的問題。 它收集有關安裝、設定、服務健康、日誌、連線狀態等詳細資訊。此工具主要用於檢查系統健康狀況、驗證設定,並協助排除潛在問題。
本文說明如何在你的裝置或即時回應中使用該工具。 你可以使用基於 Python 的解決方案,或是不需要 Python 的二進位版本。
提示
觀看此影片以了解用戶端分析器: Defender for Endpoint 用戶端分析器概述
執行用戶端分析器的二進位版本
用戶端分析器的二進位版本有兩種提供方式:
- 隨 Microsoft Defender for Linux 一同出貨
- 作為獨立工具出貨
執行隨 Microsoft Defender for Linux 附帶的 Client Analyzer 二進位檔:
注意事項
從 Defender for Endpoint 版本 101.25082.0000開始,Client Analyzer 會隨代理程式一同出貨。 可在以下地點找到: /opt/microsoft/mdatp/tools/client_analyzer/binary
要執行此用戶端分析器,請依照以下步驟操作:
請前往目錄
/opt/microsoft/mdatp/tools/client_analyzer/binary:cd /opt/microsoft/mdatp/tools/client_analyzer/binary將工具以 root 執行以產生診斷套件:
sudo ./MDESupportTool -d
下載並執行 Client Analyzer 獨立二進位工具
請依照以下步驟使用獨立的 ClientAnalyzer 二進位檔
下載你要調查的 Linux 機器上的 XMDE 用戶端分析二進位 工具。 如果你正在使用終端機,請輸入以下指令下載此工具:
wget --quiet -O XMDEClientAnalyzerBinary.zip "https://go.microsoft.com/fwlink/?linkid=2336125"請驗證下載內容:
echo '0C8F010D09557478E0CF626D439D5F7EAB1F6C7EEFF69FF1E98A7289520983E1 XMDEClientAnalyzerBinary.zip' | sha256sum -c在機器上擷取內容
XMDEClientAnalyzerBinary.zip。unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary更換目錄:
cd XMDEClientAnalyzerBinary新增兩個 zip 檔:
- SupportToolLinuxamd64Binary.zip:適用於 x86 Linux 裝置
- SupportToolLinuxarm64Binary.zip:針對 ARM Linux 裝置
根據你的 Linux 作業系統架構解壓縮該特定壓縮包。 例如,我們在這裡使用檔案
SupportToolLinuxamd64Binary.zip。unzip -q SupportToolLinuxamd64Binary.zip將工具以 root 執行以產生診斷套件:
sudo ./MDESupportTool -d
執行基於 Python 的用戶端分析器
Python 版本的用戶端分析器以兩種方式提供:
- 隨 Microsoft Defender for Linux 一同出貨
- 作為獨立工具出貨
注意事項
- 分析器依賴於作業系統根 (
decorator安裝的幾個額外的 PIP 套件 、sh、distrolxmlpsutil、) 來產生結果輸出。 若未安裝,分析器會嘗試從 官方 Python 套件的儲存庫擷取資料。 - 此外,目前該工具還需要在你的裝置上安裝 Python 3 或更新版本。
- 從 Linux 1.7.0 版本的 Client MDE Analyzer 開始,支援在 Python 虛擬環境中運行基於 Python 的用戶端分析器 (venv) 。 使用虛擬環境是可選且非必須的。
- 如果你的裝置在代理後面,你可以把代理伺服器當作環境變數傳給腳本。
mde_support_tool.sh例如:https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"。
警告
執行基於 Python 的客戶端分析器需要安裝 PIP 套件,這可能會在你的環境中造成一些問題。 為避免問題發生,我們建議您將套件安裝到使用者的 PIP 環境中。
執行隨 Microsoft Defender for Linux 附帶的 Client Analyzer Python 版本
注意事項
從 Defender for Endpoint 版本 101.25082.0000開始,Client Analyzer 會隨代理程式一同出貨。 可在以下地點找到: /opt/microsoft/mdatp/tools/client_analyzer/python
要執行此用戶端分析器,請依照以下步驟操作:
前往目錄
/opt/microsoft/mdatp/tools/client_analyzer/python:cd /opt/microsoft/mdatp/tools/client_analyzer/python用 root 使用者執行以安裝所需的相依。
sudo ./mde_support_tool.sh要收集診斷套件並產生結果封存檔,請以 root 身份再次執行。
sudo ./mde_support_tool.sh -d
下載並執行 Client Analyzer 獨立的 Python 版本
在你需要調查的 Linux 機器上下載 XMDE 用戶端分析 工具。 如果你正在使用終端機,請輸入以下指令下載此工具:
wget --quiet -O XMDEClientAnalyzerPython.zip "https://go.microsoft.com/fwlink/?linkid=2336046"請驗證下載內容:
echo '62F92CD9D191063663FBAC7B29E1C967C8F9A30B9B769DA5E968FC4276C1F030 XMDEClientAnalyzerPython.zip' | sha256sum -c在機器上擷取 內容
XMDEClientAnalyzer.zip:unzip -q XMDEClientAnalyzerPython.zip -d XMDEClientAnalyzerPython更換目錄:
cd XMDEClientAnalyzerPython給予工具執行檔權限:
chmod a+x mde_support_tool.sh以非 root 使用者身份執行以安裝所需的相依:
./mde_support_tool.sh要收集診斷套件並產生結果的封存檔,請以 root 身份再次執行:
sudo ./mde_support_tool.sh -d
提示
觀看此影片以了解更多關於入職問題: Defender for Endpoint 客戶端分析器入職問題
命令列選項
以下是 client analyzer 提供的命令列選項:
usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
[--force] [--diagnostic] [--skip-mdatp]
[--bypass-disclaimer] [--interactive] [--delay DELAY]
[--mdatp-log {trace,info,warning,error,debug,verbose}]
[--max-log-size MAX_LOG_SIZE]
{certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
...
MDE Diagnostics Tool
positional arguments:
{certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
certinfocollection Collect cert information: Subject name and Hashes
performance Collect extensive machine performance tracing for
analysis of a performance scenario that can be
reproduced on demand
installation Collect different installation/onboarding reports
exclude Exclude specific processes from audit-d monitoring.
ratelimit Set the rate limit for auditd events. Rate limit will
update the limits for auditd events for all the
applications using auditd, which could impact
applications other than MDE.
skipfaultyrules Continue loading rules in spite of an error. This
summarizes the results of loading the rules. The exit
code will not be success if any rule fails to load.
trace Use OS tracing facilities to record Defender
performance traces.
observespikes Collect the process logs in case of spike or mdatp
crash
connectivitytest Perform connectivity test for MDE
optional arguments:
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated.
--no-zip, -nz If set a directory will be created instead of an
archive file.
--force, -f Will overwrite if output directory exists.
--diagnostic, -d Collect extensive machine diagnostic information.
--skip-mdatp Skip any mdatp command. Use this when the mdatp
command is unresponsive.
--bypass-disclaimer Do not display disclaimer banner.
--interactive, -i Interactive diagnostic,
--delay DELAY, -dd DELAY
Delay diagnostic by how many minutes (0~2880), use
this to wait for more debug logs before it collects.
--mdatp-log {trace,info,warning,error,debug,verbose}
Set MDATP log level. If you use interactive or delay
mode, the log level will set to debug automatically,
and reset after 48h.
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will
restart mdatp).
診斷模式
診斷模式用於收集大量機器資訊,例如記憶體、磁碟及 MDATP 日誌。 這組檔案提供了除錯任何與 Defender For Endpoint 相關問題所需的主要資訊。
支持的選項如下:
optional arguments:
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated.
--no-zip, -nz If set a directory will be created instead of an
archive file.
--force, -f Will overwrite if output directory exists.
--diagnostic, -d Collect extensive machine diagnostic information.
--skip-mdatp Skip any mdatp command. Use this when the mdatp
command is unresponsive.
--bypass-disclaimer Do not display disclaimer banner.
--interactive, -i Interactive diagnostic,
--delay DELAY, -dd DELAY
Delay diagnostic by how many minutes (0~2880), use
this to wait for more debug logs before it collects.
--mdatp-log {trace,info,warning,error,debug,verbose}
Set MDATP log level. If you use interactive or delay
mode, the log level will set to debug automatically,
and reset after 48h.
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will
restart mdatp).
使用範例: sudo ./MDESupportTool -d
注意事項
日誌層級自動重置功能僅在代理程式版本 101.24052.0002 或以上時提供。
使用此模式產生的檔案彙整如下表:
| 檔案 | 註解 |
|---|---|
mde_diagnostic.zip |
Defender for Endpoint 日誌與設定 |
health.txt |
Defender for Endpoint 的健康狀態 (僅在安裝 Defender for Endpoint 時才會) |
health_details_features.txt |
Defender for Endpoint 其他功能的健康狀態 (僅在安裝 Defender for Endpoint 時才會) |
permissions.txt |
Defender for Endpoint 擁有/使用的資料夾權限問題 (僅在安裝 Defender for Endpoint 時才會) |
crashes |
Defender for Endpoint 產生的崩潰傾印 |
process_information.txt |
工具運行時機器中正在執行的程序 |
proc_directory_info.txt |
Defender for Endpoint 程序虛擬記憶體的映射 (僅在安裝 Defender for Endpoint 時才會) |
auditd_info.txt |
審核健康、規則、日誌 |
auditd_log_analysis.txt |
審計處理事件摘要 |
auditd_logs.zip |
審核日誌檔案 |
ebpf_kernel_config.txt |
目前已載入 Linux 核心設定檔 |
ebpf_enabled_func.txt |
目前啟用追蹤功能的所有核心函式列表 |
ebpf_syscalls.zip |
關於系統呼叫追蹤的資訊 |
ebpf_raw_syscalls.zip |
追蹤與原始系統呼叫相關的事件 |
ebpf_maps_info.txt |
eBPF 地圖的識別碼與大小資訊 |
syslog.zip |
/var/log/syslog 下的檔案 |
messages.zip |
/var/log/messages 下的檔案 |
conflicting_processes_information.txt |
端點衝突程序的Defender |
exclusions.txt |
防毒軟體排除項目列表 |
definitions.txt |
防毒軟體定義資訊 |
mde_directories.txt |
Defender for Endpoint 目錄中的檔案列表 |
disk_usage.txt |
磁碟使用細節 |
mde_user.txt |
Defender for Endpoint 使用者資訊 |
mde_definitions_mount.txt |
Defender for Endpoint 定義 掛載點 |
service_status.txt |
Defender for Endpoint 服務狀態 |
service_file.txt |
Defender for Endpoint 服務檔案 |
hardware_info.txt |
硬體資訊 |
mount.txt |
山點資訊 |
uname.txt |
核心資訊 |
memory.txt |
系統記憶體資訊 |
meminfo.txt |
系統記憶體使用量的詳細資訊 |
cpuinfo.txt |
CPU 資訊 |
lsns_info.txt |
Linux 命名空間資訊 |
lsof.txt |
Defender for Endpoint Open File Descriptors 資訊 (看到這張表後面的註解) |
sestatus.txt |
Defender for Endpoint Open File Descriptors 資訊 |
lsmod.txt |
Linux 核心中模組的狀態 |
dmesg.txt |
來自核心環緩衝區的訊息 |
kernel_lockdown.txt |
核心鎖定資訊 |
rtp_statistics.txt |
Defender for Endpoint 即時保護 (RTP) 統計 (僅在安裝 Defender for Endpoint 時才會) |
libc_info.txt |
LIBC 圖書館資訊 |
uptime_info.txt |
距離上次重啟的時間 |
last_info.txt |
最後登入用戶列表 |
locale_info.txt |
顯示現址 |
tmp_files_owned_by_mdatp.txt |
/tmp 群組擁有的檔案:MDATP (僅在安裝 Defender for Endpoint 時才會) |
mdatp_config.txt |
所有 Defender for Endpoint 設定 (僅在安裝 Defender for Endpoint 時才會) |
mpenginedb.dbmpenginedb.db-walmpenginedb.db-shm |
防毒定義檔案 (僅在安裝 Defender for Endpoint 時才會) |
iptables_rules.txt |
Linux iptables 規則 |
network_info.txt |
網路資訊 |
sysctl_info.txt |
核心設定資訊 |
hostname_diagnostics.txt |
主機名稱診斷資訊 |
mde_event_statistics.txt |
Defender for Endpoint 事件統計 (僅在安裝 Defender for Endpoint 時才會) |
mde_ebpf_statistics.txt |
Defender for Endpoint eBPF 統計 (僅在安裝 Defender for Endpoint 時才會) |
kernel_logs.zip |
核心日誌 |
mdc_log.zip |
Microsoft Defender for Cloud logs |
netext_config.txt |
|
threat_list.txt |
Defender for Endpoint 偵測到的威脅列表 (僅在安裝 Defender for Endpoint 時才會) |
top_output.txt |
工具運行時機器中正在執行的程序 |
top_summary.txt |
執行程序的記憶體與 CPU 使用率分析 |
用戶端分析器的可選參數
用戶端分析器提供以下可選參數以進行額外資料收集:
收集績效資訊
收集 Defender for Endpoint 流程的大量機器效能追蹤資料,以分析可按需重現的效能情境。
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
使用範例: sudo ./MDESupportTool performance --frequency 500
以下是使用此模式時產生的檔案:
| 檔案 | 註解 |
|---|---|
perf_benchmark.tar.gz |
Defender for Endpoint 處理效能資料 |
注意事項
同時也會產生對應診斷模式的檔案。
tar 包含格式 <pid of a MDE process>.data為 的檔案。
資料檔案可透過以下指令讀取:
perf report -i <pid>.data
執行連接測試
此模式測試 Defender for Endpoint 所需的雲端資源是否可存取。
-h, --help show this help message and exit
-o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
Path to onboarding script
-g GEO, --geo GEO Geo string to test <US|UK|EU|AU|CH|IN>
使用範例:
sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`
螢幕上列印的輸出會顯示網址是否可被存取。
收集不同的安裝/入職報告
此模式收集與安裝相關的資訊,如發行版與系統需求。
-h, --help show this help message and exit
-d, --distro Check for distro support
-m, --min-requirement Check for the system info against offical minimum requirements
-e, --external-dep Check for externel package dependency
-c, --connectivity Check for connectivity for services used by MDE
-a, --all Run all checks
-o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
Path to onboarding script
-g GEO, --geo GEO Geo string to test <US|UK|EU|AU|CH|IN>
使用範例:
sudo ./MDESupportTool installation --all
產生一份報告 installation_report.json 。 檔案中的金鑰如下:
| 機碼 | 註解 |
|---|---|
| agent_version | 已安裝 Defender for Endpoint 版本。 |
| onboarding_status | 入職與 Ring 資訊 |
| support_status | 目前系統配置已支援 MDE。 |
| 發行版 | 代理程式安裝的發行版是否支援。 |
| 連通性測試 | 連線測試狀態。 |
| min_requirement | CPU 與記憶體的最低需求皆已達成。 |
| external_depedency | 外部依賴是否滿足。 |
| mde_health | MDE 代理人的健康狀況 |
| folder_perm | 資料夾權限是否符合。 |
排除模式
此模式新增監控排除 audit-d 選項。
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
使用範例:
sudo ./MDESupportTool exclude -d /var/foo/bar`
AuditD 速率限制器
此選項會為 AuditD 設定全域速率上限,導致所有審計事件減少。 啟用限制器時,審核事件限制為每秒 2500 事件。此選項可用於 AuditD 端 CPU 使用率高的情況。
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
使用範例:
sudo ./mde_support_tool.sh ratelimit -e true
注意事項
此功能應謹慎使用,因為它限制了被稽核子系統整體報告的事件數量。 這也可能減少其他訂閱者的活動數量。
AuditD 跳過錯誤規則
此選項可讓您在載入時跳過審核規則檔案中新增的錯誤規則。 它允許被稽核的子系統即使有錯誤規則,也能繼續載入規則。
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
使用範例:
sudo ./mde_support_tool.sh skipfaultyrules -e true
注意事項
此功能跳過了錯誤規則。 必須進一步識別並修正錯誤的規則。
在 Defender for Endpoint 中使用即時回應來收集支援日誌
XMDE 用戶端分析工具可下載為 二進位 或 Python 套件,並可解壓後在 Linux 機器上執行。 XMDE 用戶端分析器的兩個版本皆可在即時回應會話中執行。
- 安裝時,必須使用該
unzip套件。 - 執行時,必須有套件
acl。
重要事項
Window 使用回車和換行的隱形字元來表示檔案中一行的結尾和新行的開頭,但 Linux 系統只在其檔案行末端使用換行的隱形字元。 當你在 Windows 上使用以下腳本時,這種差異可能導致腳本錯誤或執行失敗。 一個潛在的解決方案是利用 Windows 子系統 Linux 版及套件dos2unix重新格式化腳本,使其符合 Unix 與 Linux 格式標準。
安裝 XMDE 用戶端分析器
下載並擷取 XMDE 用戶端分析器。 你可以使用二進位或 Python 版本,具體如下:
由於即時回應指令有限,所列步驟必須以 bash 腳本執行。 透過將安裝與執行部分分開,安裝腳本可以執行一次,執行腳本也執行多次。
重要事項
範例腳本假設機器有直接網路連線,並能從 Microsoft 取得 XMDE 用戶端分析器。 如果機器無法直接連上網際網路,則必須更新安裝腳本,才能從機器能成功存取的位置取得 XMDE 用戶端分析器。
二進位客戶端分析器安裝腳本
以下腳本執行「 執行二進位版本用戶端分析器」的前六個步驟。 完成後,XMDE 用戶端分析儀二進位檔可從 /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer 目錄取得。
建立一個 bash 檔案
InstallXMDEClientAnalyzer.sh,然後把以下內容貼上去。#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary echo 'C65A4E4C6851D130942BFACD147A9D18B8A92B4F50FACF519477FD1C41A1C323 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/XMDEClientAnalyzer/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
Python 用戶端分析器安裝腳本
以下腳本執行 Client Analyzer 的 Running the Python 版本的前六個步驟。 完成後,XMDE 用戶端分析器的 Python 腳本可從目錄 /tmp/XMDEClientAnalyzer 中取得。
建立一個 bash 檔案
InstallXMDEClientAnalyzer.sh,然後把以下內容貼上去。#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
提示
觀看此影片以了解更多關於端點設定的資訊: Defender for Endpoint 用戶端分析器端點設定
執行客戶端分析器的安裝腳本
在你想調查的機器上啟動 即時回應會話 。
選擇 「上傳檔案到圖書館」。
選擇 選擇檔案。
選擇下載的檔案名稱為
InstallXMDEClientAnalyzer.sh,然後選擇 確認。在 LiveResponse 會話中,請使用以下指令安裝分析器:
run InstallXMDEClientAnalyzer.sh
執行 XMDE 用戶端分析器
Live Response 不支援直接執行 XMDE 用戶端分析器或 Python,因此需要執行腳本。
重要事項
以下腳本假設 XMDE 用戶端分析器是使用前述腳本相同的位置安裝的。 若您的組織選擇將腳本安裝到不同位置,則必須更新腳本以符合組織選擇的安裝地點。
執行二進位客戶端分析器的腳本
用戶端分析器的二進位版本接受命令列參數以執行不同的分析測試。 為了在即時回應時提供類似功能,執行腳本利用 $@ bash 變數將所有輸入參數傳給 XMDE 用戶端分析器。
建立一個 bash 檔案
MDESupportTool.sh,然後把以下內容貼上去。#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
執行 Python 客戶端分析器的腳本
Python 版本的用戶端分析器接受命令列參數以執行不同的分析測試。 為了在即時回應時提供類似功能,執行腳本利用 $@ bash 變數將所有輸入參數傳給 XMDE 用戶端分析器。
建立一個 bash 檔案
MDESupportTool.sh,然後把以下內容貼上去。#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
執行客戶端分析器腳本
注意事項
如果你有活躍的即時回應課程,可以跳過第一步。
在你想調查的機器上啟動 即時回應會話 。
選擇 「上傳檔案到圖書館」。
選擇 選擇檔案。
選擇下載的檔案名稱為
MDESupportTool.sh,然後選擇 確認。在仍在即時回應會話中時,請使用以下指令執行分析器並收集所得檔案:
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"