Executar o analisador de cliente no macOS e Linux
O XMDEClientAnalyzer é utilizado para diagnosticar problemas de Microsoft Defender para Endpoint estado de funcionamento ou fiabilidade em dispositivos integrados com Linux ou macOS.
Existem duas formas de executar a ferramenta de analisador de cliente:
- Utilizar uma versão binária (sem dependência externa do Python)
- Utilizar uma solução baseada em Python
Executar a versão binária do analisador de cliente
Transfira a ferramenta Binária do Analisador de Cliente XMDE para o computador macOS ou Linux que precisa de investigar.
Se estiver a utilizar um terminal, transfira a ferramenta ao introduzir o seguinte comando:wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
Verifique a transferência.
- Linux
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
- macOS
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
Extraia o conteúdo de XMDEClientAnalyzerBinary.zip no computador.
Se estiver a utilizar um terminal, extraia os ficheiros ao introduzir o seguinte comando:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
Altere para o diretório da ferramenta ao introduzir o seguinte comando:
cd XMDEClientAnalyzerBinary
São produzidos dois novos ficheiros zip:
- SupportToolLinuxBinary.zip : para todos os dispositivos Linux
- SupportToolMacOSBinary.zip : para dispositivos Mac
Deszipe um dos dois ficheiros zip acima com base no computador que precisa de investigar.
Ao utilizar um terminal, deszipe o ficheiro ao introduzir um dos seguintes comandos com base no tipo de SO:
Linux
unzip -q SupportToolLinuxBinary.zip
Mac
unzip -q SupportToolMacOSBinary.zip
Execute a ferramenta como raiz para gerar o pacote de diagnóstico:
sudo ./MDESupportTool -d
Executar o analisador de cliente baseado em Python
Nota
- O analisador depende de poucos pacotes PIP adicionais (
decorator
,sh
,distro
,lxml
epsutil
) que são instalados no sistema operativo quando estão na raiz para produzir o resultado. Se não estiver instalado, o analisador tenta ocorrê-lo a partir do repositório oficial dos pacotes Python. - Além disso, a ferramenta requer atualmente a instalação da versão 3 ou posterior do Python no seu dispositivo.
- Se o dispositivo estiver protegido por um proxy, pode simplesmente transmitir o servidor proxy como uma variável de ambiente para o
mde_support_tool.sh
script. Por exemplo:https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
.
Aviso
Executar o analisador de cliente baseado em Python requer a instalação de pacotes PIP, o que pode causar alguns problemas no seu ambiente. Para evitar que ocorram problemas, recomenda-se que instale os pacotes num ambiente PIP de utilizador.
Transfira a ferramenta XMDE Client Analyzer para o computador macOS ou Linux que precisa de investigar.
Se estiver a utilizar um terminal, transfira a ferramenta ao executar o seguinte comando:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
Verificar a transferência
- Linux
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
- macOS
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | shasum -a 256 -c
Extraia os conteúdos de XMDEClientAnalyzer.zip no computador. Se estiver a utilizar um terminal, extraia os ficheiros com o seguinte comando:
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
Altere o diretório para a localização extraída.
cd XMDEClientAnalyzer
Conceder permissão executável à ferramenta:
chmod a+x mde_support_tool.sh
Execute como um utilizador não raiz para instalar as dependências necessárias:
./mde_support_tool.sh
Para recolher o pacote de diagnóstico real e gerar o ficheiro de arquivo de resultados, execute novamente como raiz:
sudo ./mde_support_tool.sh -d
Opções da linha de comandos
Linhas de comandos primárias
Utilize o seguinte comando para obter o diagnóstico do computador.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--interactive, -i Interactive diagnostic
--delay DELAY, -dd DELAY
Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Exemplo de utilização: sudo ./MDESupportTool -d
NOTA: a funcionalidade de reposição automática ao nível do registo só está disponível na versão 2405 ou mais recente do cliente.
Argumentos posicionais
Recolher informações de desempenho
Recolha rastreios extensivos de desempenho da máquina para análise de um cenário de desempenho que pode ser reproduzido a pedido.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Exemplo de utilização: sudo ./MDESupportTool performance --frequency 2
Utilizar o rastreio do SO (apenas para macOS)
Utilize as instalações de rastreio do SO para registar rastreios de desempenho do Defender para Endpoint.
Nota
Esta funcionalidade só existe na solução Python.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
Ao executar este comando pela primeira vez, instala uma configuração de Perfil.
Siga este passo para aprovar a instalação do perfil: Guia de Suporte da Apple.
Exemplo de utilização ./mde_support_tool.sh trace --length 5
Modo de exclusão
Adicione exclusões para monitorização audit-d.
Nota
Esta funcionalidade existe apenas para Linux.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Exemplo de utilização: sudo ./MDESupportTool exclude -d /var/foo/bar
Limitador de Taxa auditada
Sintaxe que pode ser utilizada para limitar o número de eventos comunicados pelo plug-in auditD. Esta opção define o limite de taxa globalmente para AuditD, causando uma queda em todos os eventos de auditoria. Quando o limitador está ativado, o número de eventos auditados está limitado a 2500 eventos/seg. Esta opção pode ser utilizada nos casos em que vemos uma utilização elevada da CPU do lado AuditD.
Nota
Esta funcionalidade existe apenas para Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Exemplo de utilização: sudo ./mde_support_tool.sh ratelimit -e true
Nota
Esta funcionalidade deve ser cuidadosamente utilizada como limita o número de eventos comunicados pelo subsistema auditado como um todo. Isto também pode reduzir o número de eventos para outros subscritores.
Auditado– Ignorar Regras Com Falhas
Esta opção permite-lhe ignorar as regras com falhas adicionadas no ficheiro de regras auditadas ao carregá-las. Esta opção permite que o subsistema auditado continue a carregar regras, mesmo que exista uma regra com falhas. Esta opção resume os resultados do carregamento das regras. Em segundo plano, esta opção executa o auditctl com a opção -c.
Nota
Esta funcionalidade só está disponível no Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Exemplo de utilização: sudo ./mde_support_tool.sh skipfaultyrules -e true
Nota
Esta funcionalidade irá ignorar as regras com falhas. A regra com falhas tem de ser identificada e corrigida.
Conteúdo do pacote de resultados no macOS e Linux
report.html
Descrição: o ficheiro de saída HTML principal que contém as conclusões e a documentação de orientação da execução da ferramenta de analisador de cliente no dispositivo. Este ficheiro só é gerado ao executar a versão baseada em Python da ferramenta de analisador de cliente.
mde_diagnostic.zip
Descrição: a mesma saída de diagnóstico que é gerada ao executar a criação de diagnósticos mdatp no macOS ou Linux.
mde.xml
Descrição: saída XML gerada durante a execução e utilizada para criar o ficheiro de relatório html.
Processes_information.txt
Descrição: contém os detalhes da execução Microsoft Defender para Endpoint processos relacionados no sistema.
Log.txt
Descrição: contém as mesmas mensagens de registo escritas no ecrã durante a recolha de dados.
Health.txt
Descrição: a mesma saída básica do estado de funcionamento que é apresentada ao executar o comando de estado de funcionamento do mdatp .
Events.xml
Descrição: ficheiro XML adicional utilizado pelo analisador ao criar o relatório HTML.
Audited_info.txt
Descrição: detalhes sobre o serviço auditado e os componentes relacionados para o SO Linux .
perf_benchmark.tar.gz
Descrição: os relatórios de teste de desempenho. Só verá isto se estiver a utilizar o parâmetro de desempenho.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.