调查代理运行状况问题
下表提供了有关运行 mdatp health 命令时返回的值及其相应说明的信息。
| 值 | 说明 |
|---|---|
app_version |
显示Microsoft Defender应用程序版本。 |
automatic_definition_update_enabled |
True 如果启用了自动防病毒定义更新,则为 ;否则为 false。 |
behavior_monitoring |
通过监视应用程序、服务和文件的行为来检测实时威胁和防范的功能。 可以具有以下值之一: - disabled - default - 启用 |
cloud_automatic_sample_submission_consent |
当前示例提交级别。 可以具有以下值之一: - 无:不会将可疑样本提交到Microsoft。 - 安全:仅自动提交不包含个人数据的可疑样本。 此值是此设置的默认值。 - 全部:所有可疑样本均提交到Microsoft。 |
cloud_diagnostic_enabled |
True 如果启用了可选的诊断数据收集,则为 ;否则为 false。 有关 Defender for Endpoint 和其他产品和服务(如 Microsoft Defender 防病毒和 Windows)的详细信息,请参阅 Microsoft 隐私声明。 |
cloud_enabled |
True 如果启用了云提供的保护,则为 ;否则为 false。 |
conflicting_applications |
可能与Microsoft Defender for Endpoint冲突的应用程序列表。 此列表包括但不限于其他安全产品以及已知会导致兼容性问题的其他应用程序。 |
definitions_status |
防病毒定义的状态。 可以具有以下值之一: - up_to_date - 更新 - 不能利用的 |
definitions_updated |
上次防病毒定义更新的日期和时间。 |
definitions_updated_minutes_ago |
自上次防病毒定义更新以来的分钟数。 |
definitions_version |
防病毒定义版本。 |
edr_client_version |
在设备上运行的 EDR 客户端的版本。 |
edr_configuration_version |
EDR 配置版本。 |
edr_device_tags |
与设备关联的标记列表。 |
edr_early_preview_enabled |
设置 edr 早期预览版。 可以具有以下值之一: - 禁用 - 启用 |
edr_group_ids |
设备关联的组 ID。 |
edr_machine_id |
Microsoft Defender门户中使用的设备标识符。 |
engine_load_status |
用于确定是否正在运行的防病毒引擎的状态。 可以具有以下值之一: - 引擎未加载 - 防病毒引擎进程已关闭 - 引擎加载成功 - 防病毒引擎进程已启动并运行 |
engine_version |
防病毒引擎的版本。 |
healthy |
True 如果产品正常,则为 ;否则为 false。 |
health_issues |
Lists运行状况问题(如果有)。 |
licensed |
True 如果设备已载入租户,则为 ;否则为 false。 |
log_level |
产品的当前日志级别。 可以具有以下值之一: - 信息 - 调试 |
machine_guid |
防病毒组件使用的唯一计算机标识符。 |
network_protection_enforcement_level |
网络保护模式。 可以具有以下项之一: - disabled - 已禁用与网络保护关联的所有组件 - 阻止 - 网络保护阻止连接到恶意网站 - 审核 - 检查块的发生方式 |
network_protection_status |
仅) macOS (网络保护组件的状态。 可以具有以下值之一: - 正在启动 - 网络保护正在启动 - failed_to_start - 由于错误,无法启动网络保护 - 已启动 - 设备上运行网络保护 - 正在重启 - 网络保护正在重启 - 正在停止 - 网络保护正在停止 - 已停止 - 网络保护未运行 |
org_id |
设备载入到的组织。 如果设备尚未载入到任何组织,则显示为 unavailable。 有关载入的详细信息,请参阅加入到Microsoft Defender for Endpoint。 |
passive_mode_enabled |
True 如果防病毒组件设置为在被动模式下运行,则为 ;否则为 false。 |
product_expiration |
当前产品版本终止支持的日期和时间。 |
real_time_protection_available |
True 如果实时保护组件正常,则为 ;否则为 false。 |
real_time_protection_enabled |
True 如果启用了实时防病毒保护,则为 ;否则为 false。 |
real_time_protection_subsystem |
用于提供实时保护的子系统。 如果实时保护未按预期运行,则显示为 unavailable。 |
release_ring |
释放环。 有关详细信息,请参阅 部署圈。 |
supplementary_events_subsystem |
提供补充事件数据的子系统。 可以具有以下值之一: - ebpf - 默认应用版本: 101.2408.0000- auditd |
特定于组件的运行状况
可以使用 获取不同 Defender 功能的 mdatp health --details <feature>更详细的运行状况信息。 例如:
mdatp health --details edr
mdatp health --details definitions
mdatp health --details help
可以在 mdatp health --help 最新版本上运行,以列出所有受支持的功能。
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。