Kör klientanalysen på macOS och Linux
Gäller för:
XMDEClientAnalyzer används för att diagnostisera Microsoft Defender för Endpoint problem med hälsotillstånd eller tillförlitlighet på registrerade enheter som kör Antingen Linux eller macOS.
Det finns två sätt att köra verktyget för klientanalys:
- Använda en binär version (inget Python-beroende)
- Använda en Python-baserad lösning
Köra den binära versionen av klientanalysen
Ladda ned verktyget XMDE Client Analyzer Binary till den macOS- eller Linux-dator som du behöver undersöka.
Om du använder en terminal laddar du ned verktyget genom att ange följande kommando:wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
Verifiera nedladdningen.
Obs!
Den aktuella SHA256-hashen för "XMDEClientAnalyzerBinary.zip" som laddas ned från den här länken är: "9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469"
- Linux
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c
- macOS
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
Extrahera innehållet i XMDEClientAnalyzerBinary.zip på datorn.
Om du använder en terminal extraherar du filerna genom att ange följande kommando:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
Ändra till verktygets katalog genom att ange följande kommando:
cd XMDEClientAnalyzerBinary
Tre nya zip-filer skapas:
- SupportToolLinuxBinary.zip : För alla Linux-enheter
- SupportToolMacOSBinary.zip : För Mac-enheter
Packa upp en av ovanstående 2 zip-filer baserat på den dator som du behöver undersöka.
När du använder en terminal packar du upp filen genom att ange något av följande kommandon baserat på operativsystemtyp:Linux
unzip -q SupportToolLinuxBinary.zip
Mac
unzip -q SupportToolMacOSBinary.zip
Kör verktyget som rot för att generera diagnostikpaket:
sudo ./MDESupportTool -d
Köra den Python-baserade klientanalysen
Obs!
Analysatorn är beroende av några extra PIP-paket (sh, distro, lxml, pandas) som installeras i operativsystemet när de finns i roten för att generera resultatutdata. Om den inte är installerad försöker analysatorn hämta den från den officiella lagringsplatsen för Python-paket.
Varning
För att köra den Python-baserade klientanalysen krävs installation av PIP-paket som kan orsaka vissa problem i din miljö. För att undvika problem rekommenderar vi att du installerar paketen i en ANVÄNDAR-PIP-miljö.
Dessutom kräver verktyget för närvarande att Python version 3 eller senare installeras.
Om enheten finns bakom en proxyserver kan du bara skicka proxyservern som en miljövariabel till mde_support_tool.sh skriptet. Till exempel: .
https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
Ladda ned verktyget XMDE Client Analyzer till den macOS- eller Linux-dator som du behöver undersöka.
Om du använder en terminal laddar du ned verktyget genom att köra följande kommando:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
Verifiera nedladdningen
- Linux
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c
- macOS
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | shasum -a 256 -c
Extrahera innehållet i XMDEClientAnalyzer.zip på datorn.
Om du använder en terminal extraherar du filerna med hjälp av följande kommando:unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
Ändra katalogen till den extraherade platsen.
cd XMDEClientAnalyzer
Ge verktyget körbar behörighet:
chmod a+x mde_support_tool.sh
Kör som en icke-rotanvändare för att installera nödvändiga beroenden:
./mde_support_tool.sh
Om du vill samla in det faktiska diagnostikpaketet och generera resultatarkivfilen kör du igen som rot:
sudo ./mde_support_tool.sh -d
Kommandoradsalternativ
Primära kommandorader
Använd följande kommando för att hämta datordiagnostiken.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Användningsexempel: sudo ./MDESupportTool -d
Positionsargument
Samla in prestandainformation
Samla in omfattande spårning av datorprestanda för analys av ett prestandascenario som kan återskapas på begäran.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Användningsexempel: sudo ./MDESupportTool performance --frequency 2
Använda OS-spårning (endast för macOS)
Använd operativsystemets spårningsanläggningar för att registrera prestandaspårningar för Defender för Endpoint.
Obs!
Den här funktionen finns endast i Python-lösningen.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
När du kör det här kommandot för första gången installeras en profilkonfiguration.
Följ detta för att godkänna profilinstallationen: Apples supportguide.
Användningsexempel ./mde_support_tool.sh trace --length 5
Exkludera läge
Lägg till undantag för gransknings-d-övervakning.
Obs!
Den här funktionen finns endast för Linux.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Användningsexempel: sudo ./MDESupportTool exclude -d /var/foo/bar
AuditD Rate Limiter
Syntax som kan användas för att begränsa antalet händelser som rapporteras av plugin-programmet auditD. Det här alternativet anger hastighetsbegränsningen globalt för AuditD, vilket orsakar en minskning av alla granskningshändelser. När begränsningen är aktiverad begränsas antalet granskade händelser till 2 500 händelser per sekund. Det här alternativet kan användas i fall där vi ser hög CPU-användning från AuditD-sidan.
Obs!
Den här funktionen finns endast för Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Användningsexempel: sudo ./mde_support_tool.sh ratelimit -e true
Obs!
Den här funktionen bör användas noggrant eftersom begränsar antalet händelser som rapporteras av det granskade undersystemet som helhet. Detta kan också minska antalet händelser för andra prenumeranter.
Granskad hoppa över felaktiga regler
Med det här alternativet kan du hoppa över de felaktiga regler som lagts till i den granskade regelfilen när du läser in dem. Med det här alternativet kan det granskade undersystemet fortsätta läsa in regler även om det finns en felaktig regel. Det här alternativet sammanfattar resultatet av inläsningen av reglerna. I bakgrunden kör det här alternativet auditctl med alternativet -c.
Obs!
Den här funktionen är endast tillgänglig i Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Användningsexempel: sudo ./mde_support_tool.sh skipfaultyrules -e true
Obs!
Den här funktionen hoppar över de felaktiga reglerna. Den felaktiga regeln måste sedan identifieras och åtgärdas ytterligare.
Resultatpaketinnehåll i macOS och Linux
report.html
Beskrivning: Den huvudsakliga HTML-utdatafilen som innehåller resultaten och vägledningen som analysskriptet som körs på datorn kan producera.
mde_diagnostic.zip
Beskrivning: Samma diagnostiska utdata som genereras när mdatp-diagnostik skapas på macOS eller Linux.
mde.xml
Beskrivning: XML-utdata som genereras vid körning och används för att skapa html-rapportfilen.
Processes_information.txt
Beskrivning: innehåller information om de processer som körs Microsoft Defender för Endpoint relaterade processer i systemet.
Log.txt
Beskrivning: innehåller samma loggmeddelanden som skrivits på skärmen under datainsamlingen.
Health.txt
Beskrivning: Samma grundläggande hälsoutdata som visas när du kör mdatp-hälsokommandot .
Events.xml
Beskrivning: Ytterligare XML-fil som används av analysatorn när HTML-rapporten skapas.
Audited_info.txt
Beskrivning: information om granskad tjänst och relaterade komponenter för Linux OS.
perf_benchmark.tar.gz
Beskrivning: Prestandatestrapporterna. Du ser bara detta om du använder prestandaparametern.
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för