Ausführen der Clientanalyse unter macOS und Linux
Der XMDEClientAnalyzer wird verwendet, um Microsoft Defender for Endpoint Integritäts- oder Zuverlässigkeitsprobleme auf integrierten Geräten zu diagnostizieren, auf denen Linux oder macOS ausgeführt wird.
Es gibt zwei Möglichkeiten, das Clientanalysetool auszuführen:
- Verwenden einer Binärversion (keine externe Python-Abhängigkeit)
- Verwenden einer Python-basierten Lösung
Ausführen der binärversion des Clientanalysetools
Laden Sie das XMDE-Client analyzer Binary-Tool auf den macOS- oder Linux-Computer herunter, den Sie untersuchen müssen.
Wenn Sie ein Terminal verwenden, laden Sie das Tool herunter, indem Sie den folgenden Befehl eingeben:wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
Überprüfen Sie den Download.
- Linux
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
- macOS
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
Extrahieren Sie den Inhalt von XMDEClientAnalyzerBinary.zip auf dem Computer.
Wenn Sie ein Terminal verwenden, extrahieren Sie die Dateien, indem Sie den folgenden Befehl eingeben:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
Wechseln Sie zum Verzeichnis des Tools, indem Sie den folgenden Befehl eingeben:
cd XMDEClientAnalyzerBinary
Es werden zwei neue ZIP-Dateien erstellt:
- SupportToolLinuxBinary.zip : Für alle Linux-Geräte
- SupportToolMacOSBinary.zip : Für Mac-Geräte
Entzippen Sie eine der beiden oben genannten ZIP-Dateien basierend auf dem Computer, den Sie untersuchen müssen.
Wenn Sie ein Terminal verwenden, entzippen Sie die Datei, indem Sie je nach Betriebssystemtyp einen der folgenden Befehle eingeben:
Linux
unzip -q SupportToolLinuxBinary.zip
Mac
unzip -q SupportToolMacOSBinary.zip
Führen Sie das Tool als Stamm aus , um ein Diagnosepaket zu generieren:
sudo ./MDESupportTool -d
Ausführen der Python-basierten Clientanalyse
Hinweis
- Das Analysetool hängt von einigen zusätzlichen PIP-Paketen (
decorator
, ,distro
,lxml
undpsutil
) ab,sh
die im Betriebssystem installiert sind, wenn sie sich im Stamm befinden, um die Ergebnisausgabe zu erzeugen. Wenn es nicht installiert ist, versucht das Analysetool, es aus dem offiziellen Repository für Python-Pakete abzurufen. - Darüber hinaus muss für das Tool derzeit Python-Version 3 oder höher auf Ihrem Gerät installiert sein.
- Wenn sich Ihr Gerät hinter einem Proxy befindet, können Sie den Proxyserver einfach als Umgebungsvariable an das
mde_support_tool.sh
Skript übergeben. Beispiel:https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
.
Warnung
Die Ausführung des Python-basierten Clientanalysetools erfordert die Installation von PIP-Paketen, was zu Problemen in Ihrer Umgebung führen kann. Um Probleme zu vermeiden, wird empfohlen, die Pakete in einer PIP-Benutzerumgebung zu installieren.
Laden Sie das XMDE-Client analyzer-Tool auf den macOS- oder Linux-Computer herunter, den Sie untersuchen müssen.
Wenn Sie ein Terminal verwenden, laden Sie das Tool herunter, indem Sie den folgenden Befehl ausführen:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
Überprüfen des Downloads
- Linux
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
- macOS
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | shasum -a 256 -c
Extrahieren Sie den Inhalt von XMDEClientAnalyzer.zip auf dem Computer. Wenn Sie ein Terminal verwenden, extrahieren Sie die Dateien mit dem folgenden Befehl:
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
Wechseln Sie zum extrahierten Speicherort.
cd XMDEClientAnalyzer
Erteilen Sie dem Tool die Berechtigung ausführbare Datei:
chmod a+x mde_support_tool.sh
Führen Sie als Nicht-Root-Benutzer aus, um die erforderlichen Abhängigkeiten zu installieren:
./mde_support_tool.sh
Führen Sie erneut als Stamm aus, um das tatsächliche Diagnosepaket zu erfassen und die Ergebnisarchivdatei zu generieren:
sudo ./mde_support_tool.sh -d
Befehlszeilenoptionen
Primäre Befehlszeilen
Verwenden Sie den folgenden Befehl, um die Computerdiagnose abzurufen.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--interactive, -i Interactive diagnostic
--delay DELAY, -dd DELAY
Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Verwendungsbeispiel: sudo ./MDESupportTool -d
HINWEIS: Das Feature zum automatischen Zurücksetzen auf Protokollebene ist nur in der Clientversion 2405 oder höher verfügbar.
Positionsargumente
Sammeln von Leistungsinformationen
Sammeln Sie eine umfangreiche Ablaufverfolgung der Computerleistung für die Analyse eines Leistungsszenarios, das bei Bedarf reproduziert werden kann.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Verwendungsbeispiel: sudo ./MDESupportTool performance --frequency 2
Verwenden der Betriebssystemablaufverfolgung (nur für macOS)
Verwenden Sie Funktionen für die Betriebssystemablaufverfolgung, um Leistungsablaufverfolgungen von Defender für Endpunkt aufzuzeichnen.
Hinweis
Diese Funktionalität ist nur in der Python-Lösung vorhanden.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
Wenn dieser Befehl zum ersten Mal ausgeführt wird, wird eine Profilkonfiguration installiert.
Gehen Sie wie folgt vor, um die Profilinstallation zu genehmigen: Apple-Supporthandbuch.
Verwendungsbeispiel ./mde_support_tool.sh trace --length 5
Ausschlussmodus
Fügen Sie Ausschlüsse für die Überwachung von audit-d hinzu.
Hinweis
Diese Funktionalität ist nur für Linux vorhanden.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Verwendungsbeispiel: sudo ./MDESupportTool exclude -d /var/foo/bar
AuditD-Ratenbegrenzung
Syntax, die verwendet werden kann, um die Anzahl der ereignisse zu begrenzen, die vom auditD-Plug-In gemeldet werden. Diese Option legt die Ratenbegrenzung global für AuditD fest, was zu einem Rückgang aller Überwachungsereignisse führt. Wenn der Grenzwert aktiviert ist, ist die Anzahl der überwachten Ereignisse auf 2500 Ereignisse/Sekunde beschränkt. Diese Option kann in Fällen verwendet werden, in denen eine hohe CPU-Auslastung aufseiten von AuditD angezeigt wird.
Hinweis
Diese Funktionalität ist nur für Linux vorhanden.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Verwendungsbeispiel: sudo ./mde_support_tool.sh ratelimit -e true
Hinweis
Diese Funktionalität sollte sorgfältig verwendet werden, da die Anzahl der Ereignisse begrenzt wird, die vom überwachten Subsystem als Ganzes gemeldet werden. Dies könnte auch die Anzahl der Ereignisse für andere Abonnenten reduzieren.
AuditD Skip Faulty Rules
Mit dieser Option können Sie die fehlerhaften Regeln überspringen, die in der Überwachungsregeldatei beim Laden hinzugefügt wurden. Mit dieser Option kann das überwachte Subsystem weiterhin Regeln laden, auch wenn eine fehlerhafte Regel vorhanden ist. Diese Option fasst die Ergebnisse des Ladens der Regeln zusammen. Im Hintergrund führt diese Option auditctl mit der Option -c aus.
Hinweis
Diese Funktionalität ist nur unter Linux verfügbar.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Verwendungsbeispiel: sudo ./mde_support_tool.sh skipfaultyrules -e true
Hinweis
Diese Funktion überspringt die fehlerhaften Regeln. Die fehlerhafte Regel muss dann weiter identifiziert und behoben werden.
Inhalt des Ergebnispakets unter macOS und Linux
report.html
Beschreibung: Die Standard HTML-Ausgabedatei, die die Ergebnisse und Anleitungen zur Ausführung des Clientanalysetools auf dem Gerät enthält. Diese Datei wird nur generiert, wenn die Python-basierte Version des Clientanalysetools ausgeführt wird.
mde_diagnostic.zip
Beschreibung: Dieselbe Diagnoseausgabe, die beim Ausführen von mdatp diagnostic create unter macOS oder Linux generiert wird.
mde.xml
Beschreibung: XML-Ausgabe, die während der Ausführung generiert wird und zum Erstellen der HTML-Berichtsdatei verwendet wird.
Processes_information.txt
Beschreibung: Enthält die Details der ausgeführten Microsoft Defender for Endpoint zugehörigen Prozesse auf dem System.
Log.txt
Beschreibung: Enthält die gleichen Protokollmeldungen, die während der Datensammlung auf dem Bildschirm geschrieben wurden.
Health.txt
Beschreibung: Die gleiche grundlegende Integritätsausgabe, die beim Ausführen des Befehls mdatp health angezeigt wird.
Events.xml
Beschreibung: Zusätzliche XML-Datei, die vom Analysetool beim Erstellen des HTML-Berichts verwendet wird.
Audited_info.txt
Beschreibung: Details zum überwachten Dienst und zugehörigen Komponenten für das Linux-Betriebssystem .
perf_benchmark.tar.gz
Beschreibung: Der Leistungstest meldet. Dies wird nur angezeigt, wenn Sie den Leistungsparameter verwenden.
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.