Kör client analyzer i Windows

Gäller för:

  1. Ladda ned verktyget MDE Client Analyzer till den Windows du behöver undersöka.

  2. Extrahera innehållet i MDEClientAnalyzer.zip på datorn.

  3. Öppna en upphöjd kommandorad:

    1. Gå till Start och skriv cmd.
    2. Högerklicka på Kommandotolken och välj Kör som administratör.
  4. Skriv följande kommando och tryck på Retur:

    HardDrivePath\MDEClientAnalyzer.cmd
    

    Ersätt HardDrivePath med sökvägen som verktyget extraherades till, till exempel:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    

Utöver ovanstående finns det också ett alternativ för att samla in analysverktygssupportloggar med live-svar.

Anteckning

I Windows 10/11, Windows Server 2019/2022 eller Windows Server 2012R2/2016 med den moderna enhetliga lösningen installerad anropar MDEClientAnalyzer.exe klientanalysskriptet till en körbar fil som anropas för att köra anslutningstesterna till molntjänst-URL:er.

I Windows 8.1, Windows Server 2016 eller någon tidigare OS-version där Microsoft Monitoring Agent (MMA) används för onboarding anropar MDEClientAnalyzerPreviousVersion.exe klientanalysskriptet till en körbar fil som anropas för att köra anslutningstester för URL-adresser för kommando och kontroll (CnC) samtidigt som du anropar Microsoft Monitoring Agent Connectivity-verktyget TestCloudConnection.exe för URL-adresser för Cyber Data-kanalen.

Alla PowerShell-skript och -moduler som ingår i analysatorn är Microsoft-signerade. Om filerna har ändrats på något sätt avslutas analyseraren med följande felmeddelande:

Bild på fel i klientanalys

Om det här felet visas innehåller issuerInfo.txt detaljerad information om varför det hände och vilken fil som påverkades:

Bild av information om utfärdare

Exempelinnehåll efter att MDEClientAnalyzer.ps1 ändrats:

Bild på ändrad ps1-fil

Resultatpaketinnehåll på Windows

Anteckning

Exakt vilka filer som lagras kan ändras beroende på faktorer som:

  • Den version av windows där analysverktygen körs.
  • Tillgänglighet för händelseloggkanal på datorn.
  • Starttillståndet för Identifiering och åtgärd på slutpunkt (Sense har stoppats om datorn inte har introducerats än).
  • Om en avancerad felsökningsparameter användes med analyskommandot.

Som standard innehåller den MDEClientAnalyzerResult.zip filen följande objekt.

  • MDEClientAnalyzer.htm

    Det här är den viktigaste HTML-utdatafilen, som innehåller resultaten och vägledningen som analysskriptet som körs på datorn kan producera.

  • SystemInfoLogs-mapp []

    • AddRemovePrograms.csv

      Beskrivning: Lista över installerade x86-program på x64 OS-programvara som samlats in från registret.

    • AddRemoveProgramsWOW64.csv

      Beskrivning: Lista över installerade x86-program på x64 OS-programvara som samlats in från registret.

      • CertValidate.log

        Beskrivning: Detaljerat resultat från certifikatåterkallning som körs genom att ringa till CertUtil.

      • dsregcmd.txt

        Beskrivning: Utdata från att köra dsregcmd. Detta ger information om Azure AD-status för datorn.

      • IFEO.txt

        Beskrivning: Utdata för alternativ för körning av bildfiler konfigurerade på datorn

      • MDEClientAnalyzer.txt

        Beskrivning: Den här utförliga textfilen visas med information om körning av analysskript.

      • MDEClientAnalyzer.xml

        Beskrivning: XML-format som innehåller analysskriptsresultaten.

      • RegOnboardedInfoCurrent.Json

        Beskrivning: Informationen på den onboarded machine som hämtades i JSON-format från registret.

    • RegOnboardingInfoPolicy.Json

      Beskrivning: Konfigurationen av onboarding-principen har samlats i JSON-format från registret.

      • SCHANNEL.txt

        Beskrivning: Information om SCHANNEL-konfiguration som tillämpats på datorn som den hämtades från registret.

      • SessionManager.txt

        Beskrivning: Sessionshanterarens specifika inställningar samlas in från registret.

      • SSL_00010002.txt

        Beskrivning: Information om SSL-konfiguration som används för datorn som hämtades från registret.

  • EventLogs [Mapp]

    • utc.evtx

      Beskrivning: Export av händelseloggen DiagTrack

    • senseIR.evtx

      Beskrivning: Export av händelseloggen Automatisera undersökning

    • sense.evtx

      Beskrivning: Export av sensorhändelsens huvudhändelselogg

    • OperationsManager.evtx

      Beskrivning: Export av händelseloggen för Microsoft Monitoring Agent

Se även