Kör client analyzer i Windows
Gäller för:
Ladda ned verktyget MDE Client Analyzer till den Windows du behöver undersöka.
Extrahera innehållet i MDEClientAnalyzer.zip på datorn.
Öppna en upphöjd kommandorad:
- Gå till Start och skriv cmd.
- Högerklicka på Kommandotolken och välj Kör som administratör.
Skriv följande kommando och tryck på Retur:
HardDrivePath\MDEClientAnalyzer.cmdErsätt HardDrivePath med sökvägen som verktyget extraherades till, till exempel:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
Utöver ovanstående finns det också ett alternativ för att samla in analysverktygssupportloggar med live-svar.
Anteckning
I Windows 10/11, Windows Server 2019/2022 eller Windows Server 2012R2/2016 med den moderna enhetliga lösningen installerad anropar MDEClientAnalyzer.exe klientanalysskriptet till en körbar fil som anropas för att köra anslutningstesterna till molntjänst-URL:er.
I Windows 8.1, Windows Server 2016 eller någon tidigare OS-version där Microsoft Monitoring Agent (MMA) används för onboarding anropar MDEClientAnalyzerPreviousVersion.exe klientanalysskriptet till en körbar fil som anropas för att köra anslutningstester för URL-adresser för kommando och kontroll (CnC) samtidigt som du anropar Microsoft Monitoring Agent Connectivity-verktyget TestCloudConnection.exe för URL-adresser för Cyber Data-kanalen.
Alla PowerShell-skript och -moduler som ingår i analysatorn är Microsoft-signerade. Om filerna har ändrats på något sätt avslutas analyseraren med följande felmeddelande:

Om det här felet visas innehåller issuerInfo.txt detaljerad information om varför det hände och vilken fil som påverkades:

Exempelinnehåll efter att MDEClientAnalyzer.ps1 ändrats:

Resultatpaketinnehåll på Windows
Anteckning
Exakt vilka filer som lagras kan ändras beroende på faktorer som:
- Den version av windows där analysverktygen körs.
- Tillgänglighet för händelseloggkanal på datorn.
- Starttillståndet för Identifiering och åtgärd på slutpunkt (Sense har stoppats om datorn inte har introducerats än).
- Om en avancerad felsökningsparameter användes med analyskommandot.
Som standard innehåller den MDEClientAnalyzerResult.zip filen följande objekt.
MDEClientAnalyzer.htm
Det här är den viktigaste HTML-utdatafilen, som innehåller resultaten och vägledningen som analysskriptet som körs på datorn kan producera.
SystemInfoLogs-mapp []
AddRemovePrograms.csv
Beskrivning: Lista över installerade x86-program på x64 OS-programvara som samlats in från registret.
AddRemoveProgramsWOW64.csv
Beskrivning: Lista över installerade x86-program på x64 OS-programvara som samlats in från registret.
CertValidate.log
Beskrivning: Detaljerat resultat från certifikatåterkallning som körs genom att ringa till CertUtil.
dsregcmd.txt
Beskrivning: Utdata från att köra dsregcmd. Detta ger information om Azure AD-status för datorn.
IFEO.txt
Beskrivning: Utdata för alternativ för körning av bildfiler konfigurerade på datorn
MDEClientAnalyzer.txt
Beskrivning: Den här utförliga textfilen visas med information om körning av analysskript.
MDEClientAnalyzer.xml
Beskrivning: XML-format som innehåller analysskriptsresultaten.
RegOnboardedInfoCurrent.Json
Beskrivning: Informationen på den onboarded machine som hämtades i JSON-format från registret.
RegOnboardingInfoPolicy.Json
Beskrivning: Konfigurationen av onboarding-principen har samlats i JSON-format från registret.
SCHANNEL.txt
Beskrivning: Information om SCHANNEL-konfiguration som tillämpats på datorn som den hämtades från registret.
SessionManager.txt
Beskrivning: Sessionshanterarens specifika inställningar samlas in från registret.
SSL_00010002.txt
Beskrivning: Information om SSL-konfiguration som används för datorn som hämtades från registret.
EventLogs [Mapp]
utc.evtx
Beskrivning: Export av händelseloggen DiagTrack
senseIR.evtx
Beskrivning: Export av händelseloggen Automatisera undersökning
sense.evtx
Beskrivning: Export av sensorhändelsens huvudhändelselogg
OperationsManager.evtx
Beskrivning: Export av händelseloggen för Microsoft Monitoring Agent