Eseguire l'analizzatore client in macOS

Articolo
01/09/2025

Se si verificano problemi di affidabilità o integrità dei dispositivi con Microsoft Defender per endpoint in macOS, è possibile usare XMDE Client Analyzer per diagnosticare questi problemi. Questo articolo descrive due modi per usare lo strumento analizzatore client:

Uso di una versione binaria (nessuna dipendenza Python esterna)
Uso di una soluzione basata su Python

Usare la versione binaria dell'analizzatore client

Scaricare lo strumento XMDE Client Analyzer Binary nel computer macOS da analizzare.

Se si usa un terminale, scaricare lo strumento eseguendo il comando seguente:
```
wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
```

Verificare il download.

echo '4E96E75B16244BB25BDBF34CBB3EB596BC2E9CE368BC4E532E8AE12DF2A1E19D  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c

Estrarre il contenuto di XMDEClientAnalyzerBinary.zip nel computer.

Se si usa un terminale, estrarre i file eseguendo il comando seguente:
```
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
```
Passare alla directory dello strumento eseguendo il comando seguente:
```
cd XMDEClientAnalyzerBinary
```
Si noti che vengono generati i due file compressi seguenti:
- SupportToolLinuxBinary.zip: per tutti i dispositivi Linux
- SupportToolMacOSBinary.zip: per i dispositivi Mac
Decomprimere il SupportToolMacOSBinary.zip.
```
 unzip -q SupportToolMacOSBinary.zip
```
Eseguire lo strumento come radice per generare il pacchetto di diagnostica:
```
sudo ./MDESupportTool -d
```

Usare l'analizzatore client basato su Python

L'analizzatore client dipende da alcuni pacchetti PIP aggiuntivi (decorator, sh, distro, lxmle psutil) installati nel sistema operativo in modalità radice per produrre l'output dei risultati. Se non è installato, l'analizzatore tenta di recuperarlo dal repository ufficiale per i pacchetti Python.

Lo strumento richiede attualmente l'installazione di Python versione 3 o successiva nel dispositivo. Se il dispositivo si trova dietro un proxy, è possibile passare il server proxy come variabile di ambiente allo mde_support_tool.sh script. Ad esempio: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Avviso

L'esecuzione dell'analizzatore client basato su Python richiede l'installazione di pacchetti PIP che potrebbero causare alcuni problemi nell'ambiente. Per evitare che si verifichino problemi, è consigliabile installare i pacchetti in un ambiente PIP utente.

Scaricare lo strumento Analizzatore client XMDE nel computer Mac in corso di analisi.

Se si usa un terminale, scaricare lo strumento eseguendo il comando seguente:
```
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
```

Verificare il download.

Sistema operativo	Comando
Linux	`echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip'\| sha256sum -c`
macOS	`echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip'\| shasum -a 256 -c`

Estrarre il contenuto di XMDEClientAnalyzer.zip nel computer.

Se si usa un terminale, estrarre i file usando il comando seguente:
```
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
```
Modificare la directory nel percorso estratto.
```
cd XMDEClientAnalyzer
```
Concedere all'eseguibile dello strumento l'autorizzazione:
```
chmod a+x mde_support_tool.sh
```
Eseguire come utente nonroot per installare le dipendenze necessarie:
```
./mde_support_tool.sh
```
Quando si scaricano file in macOS, viene aggiunto automaticamente un nuovo attributo esteso denominato com.apple.quarantine che viene analizzato da Gatekeeper. Prima di eseguire, è necessario rimuovere questo attributo esteso:
```
xattr -c MDESupportTools
```
In caso contrario, potrebbe essere visualizzato l'avviso seguente:

"Potrebbe essere visualizzato un "MDESupportTool" non aperto

Apple non è riuscita a verificare che "MDESupportTool" sia privo di malware che potrebbe danneggiare il Mac o compromettere la privacy"
Per raccogliere il pacchetto di diagnostica effettivo e generare il file di archivio dei risultati, eseguire di nuovo come radice:
```
sudo ./mde_support_tool.sh -d
```

Opzioni della riga di comando

Righe di comando primarie

Usare il comando seguente per ottenere la diagnostica del computer.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Esempio di utilizzo: sudo ./MDESupportTool -d

Nota

La funzionalità di autoreset a livello di log è disponibile solo nella versione client 2405 o successiva.

Argomenti posizionale

Raccogliere informazioni sulle prestazioni

Raccogliere un'ampia traccia delle prestazioni del computer per l'analisi di uno scenario di prestazioni che può essere riprodotto su richiesta.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Esempio di utilizzo: sudo ./MDESupportTool performance --frequency 2

Usare la traccia del sistema operativo (solo per macOS)

Usare le funzionalità di traccia del sistema operativo per registrare le tracce delle prestazioni di Defender per endpoint.

Nota

Questa funzionalità esiste solo nella soluzione Python.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Quando si esegue questo comando per la prima volta, viene installata una configurazione del profilo.

Per approvare l'installazione del profilo, vedere la Guida al supporto di Apple.

Esempio di utilizzo ./mde_support_tool.sh trace --length 5

Contenuto del pacchetto dei risultati in macOS

File	Descrizione
`report.html`	File di output HTML principale che contiene i risultati e le indicazioni dell'esecuzione dello strumento analizzatore client nel dispositivo. Questo file viene generato solo quando si esegue la versione basata su Python dello strumento analizzatore client.
`mde_diagnostic.zip`	Stesso output di diagnostica generato durante l'esecuzione `mdatp diagnostic create` in macOS.
`mde.xml`	Output XML generato durante l'esecuzione e usato per compilare il file di report HTML.
`Processes_information.txt`	Contiene i dettagli dei processi correlati Microsoft Defender per endpoint in esecuzione nel sistema.
`Log.txt`	Contiene gli stessi messaggi di log scritti sullo schermo durante la raccolta dei dati.
`Health.txt`	Lo stesso output di integrità di base visualizzato durante l'esecuzione del comando di integrità mdatp .
`Events.xml`	Un altro file XML usato dall'analizzatore durante la compilazione del report HTML.
`Audited_info.txt`	Dettagli sul servizio controllato e sui componenti correlati per il sistema operativo Linux .
`perf_benchmark.tar.gz`	Report di test delle prestazioni. Questo file viene visualizzato solo se si usa il parametro delle prestazioni.