资源

项目
10/11/2024

希望体验 Defender for Endpoint？注册免费试用版。

收集诊断信息

如果可以重现问题，请先提高日志记录级别，运行系统一段时间，然后将日志记录级别还原到默认值。

提高日志记录级别：

mdatp log level set --level debug

Log level configured successfully

重现问题。
运行以下命令，备份 Defender for Endpoint 的日志。这些文件将存储在 .zip 存档中。
```
sudo mdatp diagnostic create
```
此命令还会在操作成功后输出备份的文件路径：
```
Diagnostic file created: <path to file>
```

还原日志记录级别：

mdatp log level set --level info

Log level configured successfully

日志安装问题

如果在安装过程中发生错误，安装程序将仅报告常规故障。

详细日志将保存到 /var/log/microsoft/mdatp/install.log。如果在安装过程中遇到问题，请将此文件发送给我们，以便我们帮助诊断原因。

卸载 Linux 上的 Defender for Endpoint

可通过多种方式卸载 Linux 上的 Defender for Endpoint。如果使用 Puppet 等配置工具，请按照配置工具的包卸载说明进行操作。

手动卸载

sudo yum remove mdatp 对于 RHEL 和变体， (CentOS 和 Oracle Linux) 。
sudo zypper remove mdatp 用于 SLES 和变体。
sudo apt-get purge mdatp 用于 Ubuntu 和 Debian 系统。
sudo dnf remove mdatp 水手

从命令行进行配置

可以通过命令行完成重要任务，例如控制产品设置和触发按需扫描。

全局选项

默认情况下，命令行工具以人工可读格式输出结果。此外，该工具还支持将结果输出为 JSON，这对于自动化方案非常有用。若要将输出更改为 JSON，请传递给 --output json 以下任一命令。

支持的命令

下表列出了一些最常见方案的命令。从终端运行 mdatp help 以查看受支持命令的完整列表。

组	应用场景	命令
配置	打开/关闭实时保护	`mdatp config real-time-protection --value [enabled\\|disabled]`
配置	打开/关闭行为监视	`mdatp config behavior-monitoring --value [enabled\\|disabled]`
配置	打开/关闭云保护	`mdatp config cloud --value [enabled\\|disabled]`
配置	打开/关闭产品诊断	`mdatp config cloud-diagnostic --value [enabled\\|disabled]`
配置	打开/关闭自动示例提交	`mdatp config cloud-automatic-sample-submission --value [enabled\\|disabled]`
配置	打开/关闭 AV 被动模式	`mdatp config passive-mode --value [enabled\\|disabled]`
配置	为文件扩展名添加/删除防病毒排除项	`mdatp exclusion extension [add\\|remove] --name [extension]`
配置	为文件添加/删除防病毒排除项	`mdatp exclusion file [add\\|remove] --path [path-to-file]`
配置	为目录添加/删除防病毒排除项	`mdatp exclusion folder [add\\|remove] --path [path-to-directory]`
配置	为进程添加/删除防病毒排除项	`mdatp exclusion process [add\\|remove] --path [path-to-process]` `mdatp exclusion process [add\\|remove] --name [process-name]`
配置	添加/删除文件的全局排除项	`mdatp exclusion file [add\\|remove] --path [path-to-file] --scope global`
配置	添加/删除目录的全局排除项	`mdatp exclusion folder [add\\|remove] --path [path-to-directory] --scope global`
配置	为进程添加/删除全局排除项	`mdatp exclusion process [add\\|remove] --path [path-to-process] --scope global`
配置	列出所有防病毒排除项	`mdatp exclusion list`
配置	向允许列表添加威胁名称	`mdatp threat allowed add --name [threat-name]`
配置	从允许列表中删除威胁名称	`mdatp threat allowed remove --name [threat-name]`
配置	列出所有允许的威胁名称	`mdatp threat allowed list`
配置	启用 PUA 保护	`mdatp threat policy set --type potentially_unwanted_application --action block`
配置	关闭 PUA 保护	`mdatp threat policy set --type potentially_unwanted_application --action off`
配置	打开 PUA 保护的审核模式	`mdatp threat policy set --type potentially_unwanted_application --action audit`
配置	配置按需扫描的并行度	`mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]`
配置	在安全智能更新后打开/关闭扫描	`mdatp config scan-after-definition-update --value [enabled/disabled]`
配置	仅) 启用/关闭存档扫描 (按需扫描	`mdatp config scan-archives --value [enabled/disabled]`
配置	打开/关闭文件哈希计算	`mdatp config enable-file-hash-computation --value [enabled/disabled]`
诊断	更改日志级别	`mdatp log level set --level verbose [error\|warning\|info\|verbose]`
诊断	生成诊断日志	`mdatp diagnostic create --path [directory]`
诊断	保留的产品日志的大小限制	`mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB]`
运行状况	检查产品运行状况	`mdatp health`
保护	扫描路径	`mdatp scan custom --path [path] [--ignore-exclusions]`
保护	执行快速扫描	`mdatp scan quick`
保护	执行完全扫描	`mdatp scan full`
保护	取消正在进行的按需扫描	`mdatp scan cancel`
保护	请求安全智能更新	`mdatp definitions update`
保护	将安全智能回滚到原始默认设置	`mdatp definitions restore`
保护历史记录	打印完整的保护历史记录	`mdatp threat list`
保护历史记录	获取威胁详细信息	`mdatp threat get --id [threat-id]`
隔离管理	列出所有隔离的文件	`mdatp threat quarantine list`
隔离管理	从隔离区中删除所有文件	`mdatp threat quarantine remove-all`
隔离管理	将检测到为威胁的文件添加到隔离区	`mdatp threat quarantine add --id [threat-id]`
隔离管理	从隔离区中删除检测到威胁的文件	`mdatp threat quarantine remove --id [threat-id]`
隔离管理	从隔离区还原文件。在低于 101.23092.0012 的 Defender for Endpoint 版本中可用。	`mdatp threat quarantine restore --id [threat-id] --path [destination-folder]`
隔离管理	使用威胁 ID 从隔离区还原文件。在 Defender for Endpoint 版本 101.23092.0012 或更高版本中可用。	`mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder]`
隔离管理	使用威胁原始路径从隔离区还原文件。在 Defender for Endpoint 版本 101.23092.0012 或更高版本中可用。	`mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]`
终结点检测和响应	设置早期预览	`mdatp edr early-preview [enabled\\|disabled]`
终结点检测和响应	设置 group-id	`mdatp edr group-ids --group-id [group-id]`
终结点检测和响应	设置/删除标记，仅 `GROUP` 支持	`mdatp edr tag set --name GROUP --value [tag]`
终结点检测和响应	列出根) (排除项	`mdatp edr exclusion list [processes\|paths\|extensions\|all]`

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。

通过

资源