Partilhar via


Executar o analisador de cliente no macOS e Linux

O XMDEClientAnalyzer é utilizado para diagnosticar problemas de Microsoft Defender para Endpoint estado de funcionamento ou fiabilidade em dispositivos integrados com Linux ou macOS.

Existem duas formas de executar a ferramenta de analisador de cliente:

  1. Utilizar uma versão binária (sem dependência externa do Python)
  2. Utilizar uma solução baseada em Python

Executar a versão binária do analisador de cliente

  1. Transfira a ferramenta Binária do Analisador de Cliente XMDE para o computador macOS ou Linux que precisa de investigar.
    Se estiver a utilizar um terminal, transfira a ferramenta ao introduzir o seguinte comando:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
    
  2. Verifique a transferência.

    • Linux
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    • macOS
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
    
  3. Extraia o conteúdo de XMDEClientAnalyzerBinary.zip no computador.

    Se estiver a utilizar um terminal, extraia os ficheiros ao introduzir o seguinte comando:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
    
  4. Altere para o diretório da ferramenta ao introduzir o seguinte comando:

    cd XMDEClientAnalyzerBinary
    
  5. São produzidos dois novos ficheiros zip:

    • SupportToolLinuxBinary.zip : para todos os dispositivos Linux
    • SupportToolMacOSBinary.zip : para dispositivos Mac
  6. Deszipe um dos dois ficheiros zip acima com base no computador que precisa de investigar.

    Ao utilizar um terminal, deszipe o ficheiro ao introduzir um dos seguintes comandos com base no tipo de SO:

    • Linux

      unzip -q SupportToolLinuxBinary.zip
      
    • Mac

      unzip -q SupportToolMacOSBinary.zip
      
  7. Execute a ferramenta como raiz para gerar o pacote de diagnóstico:

    sudo ./MDESupportTool -d
    

Executar o analisador de cliente baseado em Python

Nota

  • O analisador depende de poucos pacotes PIP adicionais (decorator, sh, distro, lxmle psutil) que são instalados no sistema operativo quando estão na raiz para produzir o resultado. Se não estiver instalado, o analisador tenta ocorrê-lo a partir do repositório oficial dos pacotes Python.
  • Além disso, a ferramenta requer atualmente a instalação da versão 3 ou posterior do Python no seu dispositivo.
  • Se o dispositivo estiver protegido por um proxy, pode simplesmente transmitir o servidor proxy como uma variável de ambiente para o mde_support_tool.sh script. Por exemplo: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Aviso

Executar o analisador de cliente baseado em Python requer a instalação de pacotes PIP, o que pode causar alguns problemas no seu ambiente. Para evitar que ocorram problemas, recomenda-se que instale os pacotes num ambiente PIP de utilizador.

  1. Transfira a ferramenta XMDE Client Analyzer para o computador macOS ou Linux que precisa de investigar.

    Se estiver a utilizar um terminal, transfira a ferramenta ao executar o seguinte comando:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
    
  2. Verificar a transferência

    • Linux
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
    
    • macOS
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11  XMDEClientAnalyzer.zip' | shasum -a 256 -c
    
  3. Extraia os conteúdos de XMDEClientAnalyzer.zip no computador. Se estiver a utilizar um terminal, extraia os ficheiros com o seguinte comando:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
    
  4. Altere o diretório para a localização extraída.

    cd XMDEClientAnalyzer
    
  5. Conceder permissão executável à ferramenta:

    chmod a+x mde_support_tool.sh
    
  6. Execute como um utilizador não raiz para instalar as dependências necessárias:

    ./mde_support_tool.sh
    
  7. Para recolher o pacote de diagnóstico real e gerar o ficheiro de arquivo de resultados, execute novamente como raiz:

    sudo ./mde_support_tool.sh -d
    

Opções da linha de comandos

Linhas de comandos primárias

Utilize o seguinte comando para obter o diagnóstico do computador.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Exemplo de utilização: sudo ./MDESupportTool -d

NOTA: a funcionalidade de reposição automática ao nível do registo só está disponível na versão 2405 ou mais recente do cliente.

Argumentos posicionais

Recolher informações de desempenho

Recolha rastreios extensivos de desempenho da máquina para análise de um cenário de desempenho que pode ser reproduzido a pedido.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Exemplo de utilização: sudo ./MDESupportTool performance --frequency 2

Utilizar o rastreio do SO (apenas para macOS)

Utilize as instalações de rastreio do SO para registar rastreios de desempenho do Defender para Endpoint.

Nota

Esta funcionalidade só existe na solução Python.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Ao executar este comando pela primeira vez, instala uma configuração de Perfil.

Siga este passo para aprovar a instalação do perfil: Guia de Suporte da Apple.

Exemplo de utilização ./mde_support_tool.sh trace --length 5

Modo de exclusão

Adicione exclusões para monitorização audit-d.

Nota

Esta funcionalidade existe apenas para Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Exemplo de utilização: sudo ./MDESupportTool exclude -d /var/foo/bar

Limitador de Taxa auditada

Sintaxe que pode ser utilizada para limitar o número de eventos comunicados pelo plug-in auditD. Esta opção define o limite de taxa globalmente para AuditD, causando uma queda em todos os eventos de auditoria. Quando o limitador está ativado, o número de eventos auditados está limitado a 2500 eventos/seg. Esta opção pode ser utilizada nos casos em que vemos uma utilização elevada da CPU do lado AuditD.

Nota

Esta funcionalidade existe apenas para Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Exemplo de utilização: sudo ./mde_support_tool.sh ratelimit -e true

Nota

Esta funcionalidade deve ser cuidadosamente utilizada como limita o número de eventos comunicados pelo subsistema auditado como um todo. Isto também pode reduzir o número de eventos para outros subscritores.

Auditado– Ignorar Regras Com Falhas

Esta opção permite-lhe ignorar as regras com falhas adicionadas no ficheiro de regras auditadas ao carregá-las. Esta opção permite que o subsistema auditado continue a carregar regras, mesmo que exista uma regra com falhas. Esta opção resume os resultados do carregamento das regras. Em segundo plano, esta opção executa o auditctl com a opção -c.

Nota

Esta funcionalidade só está disponível no Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Exemplo de utilização: sudo ./mde_support_tool.sh skipfaultyrules -e true

Nota

Esta funcionalidade irá ignorar as regras com falhas. A regra com falhas tem de ser identificada e corrigida.

Conteúdo do pacote de resultados no macOS e Linux

  • report.html

    Descrição: o ficheiro de saída HTML principal que contém as conclusões e a documentação de orientação da execução da ferramenta de analisador de cliente no dispositivo. Este ficheiro só é gerado ao executar a versão baseada em Python da ferramenta de analisador de cliente.

  • mde_diagnostic.zip

    Descrição: a mesma saída de diagnóstico que é gerada ao executar a criação de diagnósticos mdatp no macOS ou Linux.

  • mde.xml

    Descrição: saída XML gerada durante a execução e utilizada para criar o ficheiro de relatório html.

  • Processes_information.txt

    Descrição: contém os detalhes da execução Microsoft Defender para Endpoint processos relacionados no sistema.

  • Log.txt

    Descrição: contém as mesmas mensagens de registo escritas no ecrã durante a recolha de dados.

  • Health.txt

    Descrição: a mesma saída básica do estado de funcionamento que é apresentada ao executar o comando de estado de funcionamento do mdatp .

  • Events.xml

    Descrição: ficheiro XML adicional utilizado pelo analisador ao criar o relatório HTML.

  • Audited_info.txt

    Descrição: detalhes sobre o serviço auditado e os componentes relacionados para o SO Linux .

  • perf_benchmark.tar.gz

    Descrição: os relatórios de teste de desempenho. Só verá isto se estiver a utilizar o parâmetro de desempenho.

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.