Kör client analyzer i Windows

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2

Alternativ 1: Livesvar

Du kan samla in supportloggar för Defender för Endpoint-analysverktyg via fjärranslutning med livesvar.

Alternativ 2: Kör MDE Client Analyzer lokalt

1. Ladda ned verktyget MDE Client Analyzer eller verktyget Beta MDE Client Analyzer till den Windows-enhet som du vill undersöka.

   Filen sparas som standard i mappen Hämtade filer.

2. Extrahera innehållet i MDEClientAnalyzer.zip till en tillgänglig mapp.

3. Öppna en kommandorad med administratörsbehörigheter:

   1. Gå till Start och skriv cmd.
   2. Högerklicka på Kommandotolken och välj Kör som administratör.

4. Skriv följande kommando och tryck sedan på Retur:

   *DrivePath*\MDEClientAnalyzer.cmd
   

   Ersätt DrivePath med sökvägen där du extraherade MDEClientAnalyzer, till exempel:

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

Utöver föregående procedur kan du även samla in analysverktygssupportloggar med livesvar..

Obs!

På Windows 10 och 11, Windows Server 2019 och 2022 eller Windows Server 2012R2 och 2016 med den moderna enhetliga lösningen installerad anropar klientanalysskriptet en körbar fil som anropas MDEClientAnalyzer.exe för att köra anslutningstesterna till molntjänst-URL:er.

På Windows 8.1, Windows Server 2016 eller någon tidigare operativsystemversion där Microsoft Monitoring Agent (MMA) används för registrering anropar klientanalysskriptet till en körbar fil som heter MDEClientAnalyzerPreviousVersion.exe för att köra anslutningstester för URL:er för kommando och kontroll (CnC) samtidigt som de anropar till Microsoft Monitoring Agent-anslutningsverktyget TestCloudConnection.exe för URL:er för Cyber Data Channel.

Viktiga saker att tänka på

Alla PowerShell-skript och -moduler som ingår i analysatorn är Microsoft-signerade. Om filerna har ändrats på något sätt förväntas analysatorn avslutas med följande fel:

Om du ser det här felet innehåller issuerInfo.txt-utdata detaljerad information om varför detta hände och den berörda filen:

Exempelinnehåll när MDEClientAnalyzer.ps1 har ändrats:

Resultatpaketinnehåll i Windows

Obs!

De exakta filer som samlas in kan ändras beroende på faktorer som:

• Den windowsversion som analysatorn körs på.
• Tillgänglighet för händelseloggkanal på datorn.
• Starttillståndet för EDR-sensorn (Sense stoppas om datorn ännu inte har registrerats).
• Om en avancerad felsökningsparameter användes med kommandot analyzer.

Som standard innehåller den uppackade MDEClientAnalyzerResult.zip-filen följande objekt.

• MDEClientAnalyzer.htm

  Det här är den huvudsakliga HTML-utdatafilen, som innehåller de resultat och vägledning som analysskriptet som körs på datorn kan producera.

• SystemInfoLogs [mapp]

  • AddRemovePrograms.csv

    Beskrivning: Lista över x64-installerad programvara på x64-operativsystem som samlats in från registret.

  • AddRemoveProgramsWOW64.csv

    Beskrivning: Lista över x86-installerad programvara på x64-operativsystem som samlats in från registret.

    • CertValidate.log

      Beskrivning: Detaljerat resultat från certifikatåterkallning som körs genom anrop till CertUtil.

    • dsregcmd.txt

      Beskrivning: Utdata från körning av dsregcmd. Detta ger information om datorns Microsoft Entra status.

    • IFEO.txt

      Beskrivning: Utdata från körningsalternativ för bildfiler som konfigurerats på datorn

    • MDEClientAnalyzer.txt

      Beskrivning: Det här är utförlig textfil som visas med information om körningen av analysskriptet.

    • MDEClientAnalyzer.xml

      Beskrivning: XML-format som innehåller analysskriptets resultat.

    • RegOnboardedInfoCurrent.Json

      Beskrivning: Den registrerade datorinformationen som samlats in i JSON-format från registret.

  • RegOnboardingInfoPolicy.Json

    Beskrivning: Registreringsprincipkonfigurationen som samlats in i JSON-format från registret.

    • SCHANNEL.txt

      Beskrivning: Information om SCHANNEL-konfiguration som tillämpas på datorn som samlas in från registret.

    • SessionManager.txt

      Beskrivning: Sessionshanterarens specifika inställningar samlas in från registret.

    • SSL_00010002.txt

      Beskrivning: Information om SSL-konfiguration som tillämpas på datorn som samlas in från registret.

• EventLogs [mapp]

  • utc.evtx

    Beskrivning: Export av DiagTrack-händelselogg

  • senseIR.evtx

    Beskrivning: Exportera händelseloggen för automatiserad undersökning

  • sense.evtx

    Beskrivning: Export av huvudhändelseloggen för sensorn

  • OperationsManager.evtx

    Beskrivning: Exportera händelseloggen för Microsoft Monitoring Agent

• MdeConfigMgrLogs [mapp]

  • SecurityManagementConfiguration.json

    Beskrivning: Konfigurationer som skickas från MEM (Microsoft Endpoint Manager) för tillämpning.

  • policies.json

    Beskrivning: Principinställningar som ska tillämpas på enheten.

  • report_xxx.json

    Beskrivning: Motsvarande tvingande resultat.

Se även

• Client analyzer översikt
• Ladda ned och kör client analyzer
• Data-samling för avancerad felsökning i Windows
• Förstå HTML-rapporten för analysen

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.