Ejecutar el analizador de clientes en macOS o Linux
XMDEClientAnalyzer se usa para diagnosticar Microsoft Defender para punto de conexión problemas de mantenimiento o confiabilidad en dispositivos incorporados que ejecutan Linux o macOS.
Hay dos maneras de ejecutar la herramienta de analizador de cliente:
- Uso de una versión binaria (sin dependencia externa de Python)
- Uso de una solución basada en Python
Ejecución de la versión binaria del analizador de cliente
Descargue la herramienta binaria XMDE Client Analyzer en la máquina macOS o Linux que necesita investigar.
Si usa un terminal, descargue la herramienta escribiendo el siguiente comando:wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
Compruebe la descarga.
- Linux
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
- macOS
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
Extraiga el contenido de XMDEClientAnalyzerBinary.zip en el equipo.
Si usa un terminal, extraiga los archivos escribiendo el siguiente comando:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
Para cambiar al directorio de la herramienta, escriba el siguiente comando:
cd XMDEClientAnalyzerBinary
Se generan dos nuevos archivos ZIP:
- SupportToolLinuxBinary.zip : para todos los dispositivos Linux
- SupportToolMacOSBinary.zip : para dispositivos Mac
Descomprima uno de los dos archivos ZIP anteriores en función de la máquina que necesite investigar.
Al usar un terminal, descomprima el archivo escribiendo uno de los siguientes comandos en función del tipo de sistema operativo:
Linux
unzip -q SupportToolLinuxBinary.zip
Mac
unzip -q SupportToolMacOSBinary.zip
Ejecute la herramienta como raíz para generar el paquete de diagnóstico:
sudo ./MDESupportTool -d
Ejecución del analizador de cliente basado en Python
Nota:
- El analizador depende de algunos paquetes PIP adicionales (
decorator
,sh
,distro
,lxml
ypsutil
) que se instalan en el sistema operativo cuando están en la raíz para generar la salida del resultado. Si no está instalado, el analizador intenta capturarlo del repositorio oficial de paquetes de Python. - Además, la herramienta requiere actualmente la versión 3 de Python o posterior para instalarse en el dispositivo.
- Si el dispositivo está detrás de un proxy, simplemente puede pasar el servidor proxy como variable de entorno al
mde_support_tool.sh
script. Por ejemplo:https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
.
Advertencia
La ejecución del analizador de cliente basado en Python requiere la instalación de paquetes PIP, lo que puede causar algunos problemas en el entorno. Para evitar que se produzcan problemas, se recomienda instalar los paquetes en un entorno PIP de usuario.
Descargue la herramienta XMDE Client Analyzer en la máquina macOS o Linux que necesita investigar.
Si usa un terminal, descargue la herramienta ejecutando el siguiente comando:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
Comprobación de la descarga
- Linux
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
- macOS
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | shasum -a 256 -c
Extraiga el contenido de XMDEClientAnalyzer.zip en el equipo. Si usa un terminal, extraiga los archivos mediante el siguiente comando:
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
Cambie el directorio a la ubicación extraída.
cd XMDEClientAnalyzer
Conceda al ejecutable de la herramienta permiso:
chmod a+x mde_support_tool.sh
Ejecute como un usuario no raíz para instalar las dependencias necesarias:
./mde_support_tool.sh
Para recopilar el paquete de diagnóstico real y generar el archivo de archivo de resultados, vuelva a ejecutarse como raíz:
sudo ./mde_support_tool.sh -d
Opciones de línea de comandos
Líneas de comandos principales
Use el siguiente comando para obtener el diagnóstico de la máquina.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--interactive, -i Interactive diagnostic
--delay DELAY, -dd DELAY
Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Ejemplo de uso: sudo ./MDESupportTool -d
NOTA: La característica de restablecimiento automático de nivel de registro solo está disponible en la versión de cliente 2405 o más reciente.
Argumentos posicionales
Recopilación de información de rendimiento
Recopile un amplio seguimiento del rendimiento de la máquina para analizar un escenario de rendimiento que se pueda reproducir a petición.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Ejemplo de uso: sudo ./MDESupportTool performance --frequency 2
Uso del seguimiento del sistema operativo (solo para macOS)
Use las instalaciones de seguimiento del sistema operativo para registrar seguimientos de rendimiento de Defender para punto de conexión.
Nota:
Esta funcionalidad solo existe en la solución de Python.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
Al ejecutar este comando por primera vez, instala una configuración de perfil.
Siga este procedimiento para aprobar la instalación del perfil: Guía de soporte técnico de Apple.
Ejemplo de uso ./mde_support_tool.sh trace --length 5
Modo de exclusión
Agregue exclusiones para la supervisión de auditoría.
Nota:
Esta funcionalidad solo existe para Linux.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Ejemplo de uso: sudo ./MDESupportTool exclude -d /var/foo/bar
Limitador de velocidad auditada
Sintaxis que se puede usar para limitar el número de eventos notificados por el complemento auditD. Esta opción establece el límite de velocidad globalmente para AuditD, lo que provoca una caída en todos los eventos de auditoría. Cuando el limitador está habilitado, el número de eventos auditados se limita a 2500 eventos por segundo. Esta opción se puede usar en los casos en los que se ve un uso elevado de CPU del lado AuditD.
Nota:
Esta funcionalidad solo existe para Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Ejemplo de uso: sudo ./mde_support_tool.sh ratelimit -e true
Nota:
Esta funcionalidad debe usarse cuidadosamente, ya que limita el número de eventos notificados por el subsistema auditado en su conjunto. Esto también podría reducir el número de eventos para otros suscriptores.
AuditD Skip Faulty Rules
Esta opción permite omitir las reglas erróneas agregadas en el archivo de reglas auditadas al cargarlas. Esta opción permite que el subsistema auditado continúe cargando reglas incluso si hay una regla errónea. Esta opción resume los resultados de la carga de las reglas. En segundo plano, esta opción ejecuta auditctl con la opción -c.
Nota:
Esta funcionalidad solo está disponible en Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Ejemplo de uso: sudo ./mde_support_tool.sh skipfaultyrules -e true
Nota:
Esta funcionalidad omitirá las reglas erróneas. La regla defectuosa debe identificarse y corregirse aún más.
Contenido del paquete de resultados en macOS y Linux
report.html
Descripción: el archivo de salida HTML principal que contiene los resultados y las instrucciones de la ejecución de la herramienta de analizador de cliente en el dispositivo. Este archivo solo se genera cuando se ejecuta la versión basada en Python de la herramienta del analizador de cliente.
mde_diagnostic.zip
Descripción: la misma salida de diagnóstico que se genera al ejecutar mdatp diagnostic create en macOS o Linux.
mde.xml
Descripción: salida XML que se genera durante la ejecución y se usa para compilar el archivo de informe html.
Processes_information.txt
Descripción: contiene los detalles de la ejecución Microsoft Defender para punto de conexión procesos relacionados en el sistema.
Log.txt
Descripción: contiene los mismos mensajes de registro escritos en pantalla durante la recopilación de datos.
Health.txt
Descripción: la misma salida de estado básico que se muestra al ejecutar el comando de mantenimiento mdatp .
Events.xml
Descripción: archivo XML adicional que usa el analizador al compilar el informe HTML.
Audited_info.txt
Descripción: detalles sobre el servicio auditado y los componentes relacionados para el sistema operativo Linux .
perf_benchmark.tar.gz
Descripción: los informes de pruebas de rendimiento. Solo verá esto si usa el parámetro de rendimiento.
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.