Executar o analisador de cliente no macOS e Linux
Aplica-se a:
O XMDEClientAnalyzer é utilizado para diagnosticar problemas de Microsoft Defender para Endpoint estado de funcionamento ou fiabilidade em dispositivos integrados com Linux ou macOS.
Existem duas formas de executar a ferramenta de analisador de cliente:
- Utilizar uma versão binária (sem dependência python)
- Utilizar uma solução baseada em Python
Executar a versão binária do analisador de cliente
Transfira a ferramenta Binária do Analisador de Cliente XMDE para o computador macOS ou Linux que precisa de investigar.
Se estiver a utilizar um terminal, transfira a ferramenta ao introduzir o seguinte comando:wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinaryVerifique a transferência.
Nota
O hash SHA256 atual de "XMDEClientAnalyzerBinary.zip" transferido a partir desta ligação é: "9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469"
- Linux
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c- macOS
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -cExtraia o conteúdo de XMDEClientAnalyzerBinary.zip no computador.
Se estiver a utilizar um terminal, extraia os ficheiros ao introduzir o seguinte comando:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinaryAltere para o diretório da ferramenta ao introduzir o seguinte comando:
cd XMDEClientAnalyzerBinarySão produzidos três novos ficheiros zip:
- SupportToolLinuxBinary.zip : para todos os dispositivos Linux
- SupportToolMacOSBinary.zip : para dispositivos Mac
Deszipe um dos dois ficheiros zip acima com base no computador que precisa de investigar.
Ao utilizar um terminal, deszipe o ficheiro ao introduzir um dos seguintes comandos com base no tipo de SO:Linux
unzip -q SupportToolLinuxBinary.zipMac
unzip -q SupportToolMacOSBinary.zip
Execute a ferramenta como raiz para gerar o pacote de diagnóstico:
sudo ./MDESupportTool -d
Executar o analisador de cliente baseado em Python
Nota
O analisador depende de poucos pacotes PIP adicionais (sh, distro, lxml, pandas) que são instalados no SO quando estão na raiz para produzir a saída do resultado. Se não estiver instalado, o analisador tentará o obter a partir do repositório oficial dos pacotes Python.
Aviso
Executar o analisador de cliente baseado em Python requer a instalação de pacotes PIP, o que pode causar alguns problemas no seu ambiente. Para evitar que ocorram problemas, recomenda-se que instale os pacotes num ambiente PIP de utilizador.
Além disso, a ferramenta requer atualmente a instalação da versão 3 ou posterior do Python.
Se o dispositivo estiver atrás de um proxy, pode simplesmente transmitir o servidor proxy como uma variável de ambiente para o script mde_support_tool.sh. Por exemplo: .
https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
Transfira a ferramenta XMDE Client Analyzer para o computador macOS ou Linux que precisa de investigar.
Se estiver a utilizar um terminal, transfira a ferramenta ao executar o seguinte comando:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzerVerificar a transferência
- Linux
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c- macOS
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | shasum -a 256 -cExtraia os conteúdos de XMDEClientAnalyzer.zip no computador.
Se estiver a utilizar um terminal, extraia os ficheiros com o seguinte comando:unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzerAltere o diretório para a localização extraída.
cd XMDEClientAnalyzerConceder permissão executável à ferramenta:
chmod a+x mde_support_tool.shExecute como um utilizador não raiz para instalar as dependências necessárias:
./mde_support_tool.shPara recolher o pacote de diagnóstico real e gerar o ficheiro de arquivo de resultados, execute novamente como raiz:
sudo ./mde_support_tool.sh -d
Opções da linha de comandos
Linhas de comandos primárias
Utilize o seguinte comando para obter o diagnóstico do computador.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Exemplo de utilização: sudo ./MDESupportTool -d
Argumentos posicionais
Recolher informações de desempenho
Recolha rastreios extensivos de desempenho da máquina para análise de um cenário de desempenho que pode ser reproduzido a pedido.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Exemplo de utilização: sudo ./MDESupportTool performance --frequency 2
Utilizar o rastreio do SO (apenas para macOS)
Utilize as instalações de rastreio do SO para registar rastreios de desempenho do Defender para Endpoint.
Nota
Esta funcionalidade só existe na solução Python.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
Ao executar este comando pela primeira vez, instala uma configuração de Perfil.
Siga este passo para aprovar a instalação do perfil: Guia de Suporte da Apple.
Exemplo de utilização ./mde_support_tool.sh trace --length 5
Modo de exclusão
Adicione exclusões para monitorização audit-d.
Nota
Esta funcionalidade existe apenas para Linux.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Exemplo de utilização: sudo ./MDESupportTool exclude -d /var/foo/bar
Limitador de Taxa auditada
Sintaxe que pode ser utilizada para limitar o número de eventos comunicados pelo plug-in auditD. Esta opção define o limite de taxa globalmente para AuditD, causando uma queda em todos os eventos de auditoria. Quando o limitador está ativado, o número de eventos auditados está limitado a 2500 eventos/seg. Esta opção pode ser utilizada nos casos em que vemos uma utilização elevada da CPU do lado AuditD.
Nota
Esta funcionalidade existe apenas para Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Exemplo de utilização: sudo ./mde_support_tool.sh ratelimit -e true
Nota
Esta funcionalidade deve ser cuidadosamente utilizada como limita o número de eventos comunicados pelo subsistema auditado como um todo. Isto também pode reduzir o número de eventos para outros subscritores.
Auditado– Ignorar Regras Com Falhas
Esta opção permite-lhe ignorar as regras com falhas adicionadas no ficheiro de regras auditadas ao carregá-las. Esta opção permite que o subsistema auditado continue a carregar regras, mesmo que exista uma regra com falhas. Esta opção resume os resultados do carregamento das regras. Em segundo plano, esta opção executa o auditctl com a opção -c.
Nota
Esta funcionalidade só está disponível no Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Exemplo de utilização: sudo ./mde_support_tool.sh skipfaultyrules -e true
Nota
Esta funcionalidade irá ignorar as regras com falhas. A regra com falhas tem de ser identificada e corrigida.
Conteúdo do pacote de resultados no macOS e Linux
report.html
Descrição: o ficheiro de saída HTML principal que contém as conclusões e a documentação de orientação que o script do analisador executa no computador pode produzir.
mde_diagnostic.zip
Descrição: a mesma saída de diagnóstico que é gerada ao executar a criação de diagnósticos mdatp no macOS ou Linux.
mde.xml
Descrição: saída XML gerada durante a execução e utilizada para criar o ficheiro de relatório html.
Processes_information.txt
Descrição: contém os detalhes da execução Microsoft Defender para Endpoint processos relacionados no sistema.
Log.txt
Descrição: contém as mesmas mensagens de registo escritas no ecrã durante a recolha de dados.
Health.txt
Descrição: a mesma saída básica do estado de funcionamento que é apresentada ao executar o comando de estado de funcionamento do mdatp .
Events.xml
Descrição: ficheiro XML adicional utilizado pelo analisador ao criar o relatório HTML.
Audited_info.txt
Descrição: detalhes sobre o serviço auditado e os componentes relacionados para o SO Linux .
perf_benchmark.tar.gz
Descrição: os relatórios de teste de desempenho. Só verá isto se estiver a utilizar o parâmetro de desempenho.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários