资源

希望体验 Defender for Endpoint? 注册免费试用版

收集诊断信息

如果可以重现问题,请先提高日志记录级别,运行系统一段时间,然后将日志记录级别还原到默认值。

  1. 提高日志记录级别:

    mdatp log level set --level debug
    
    Log level configured successfully
    
  2. 重现问题。

  3. 运行以下命令,备份 Defender for Endpoint 的日志。 这些文件将存储在 .zip 存档中。

    sudo mdatp diagnostic create
    

    此命令还会在操作成功后输出备份的文件路径:

    Diagnostic file created: <path to file>
    
  4. 还原日志记录级别:

    mdatp log level set --level info
    
    Log level configured successfully
    

日志安装问题

如果在安装过程中发生错误,安装程序将仅报告常规故障。

详细日志将保存到 /var/log/microsoft/mdatp/install.log。 如果在安装过程中遇到问题,请将此文件发送给我们,以便我们帮助诊断原因。

卸载 Linux 上的 Defender for Endpoint

可通过多种方式卸载 Linux 上的 Defender for Endpoint。 如果使用 Puppet 等配置工具,请按照配置工具的包卸载说明进行操作。

手动卸载

  • sudo yum remove mdatp 对于 RHEL 和变体, (CentOS 和 Oracle Linux) 。
  • sudo zypper remove mdatp 用于 SLES 和变体。
  • sudo apt-get purge mdatp 用于 Ubuntu 和 Debian 系统。
  • sudo dnf remove mdatp 水手

从命令行进行配置

可以通过命令行完成重要任务,例如控制产品设置和触发按需扫描。

全局选项

默认情况下,命令行工具以人工可读格式输出结果。 此外,该工具还支持将结果输出为 JSON,这对于自动化方案非常有用。 若要将输出更改为 JSON,请传递给 --output json 以下任一命令。

支持的命令

下表列出了一些最常见方案的命令。 从终端运行 mdatp help 以查看受支持命令的完整列表。



应用场景 命令
配置 打开/关闭实时保护 mdatp config real-time-protection --value [enabled\|disabled]
配置 打开/关闭行为监视 mdatp config behavior-monitoring --value [enabled\|disabled]
配置 打开/关闭云保护 mdatp config cloud --value [enabled\|disabled]
配置 打开/关闭产品诊断 mdatp config cloud-diagnostic --value [enabled\|disabled]
配置 打开/关闭自动示例提交 mdatp config cloud-automatic-sample-submission --value [enabled\|disabled]
配置 打开/关闭 AV 被动模式 mdatp config passive-mode --value [enabled\|disabled]
配置 为文件扩展名添加/删除防病毒排除项 mdatp exclusion extension [add\|remove] --name [extension]
配置 为文件添加/删除防病毒排除项 mdatp exclusion file [add\|remove] --path [path-to-file]
配置 为目录添加/删除防病毒排除项 mdatp exclusion folder [add\|remove] --path [path-to-directory]
配置 为进程添加/删除防病毒排除项 mdatp exclusion process [add\|remove] --path [path-to-process]

mdatp exclusion process [add\|remove] --name [process-name]

配置 添加/删除文件的全局排除项 mdatp exclusion file [add\|remove] --path [path-to-file] --scope global
配置 添加/删除目录的全局排除项 mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global
配置 为进程添加/删除全局排除项 mdatp exclusion process [add\|remove] --path [path-to-process] --scope global
配置 列出所有防病毒排除项 mdatp exclusion list
配置 向允许列表添加威胁名称 mdatp threat allowed add --name [threat-name]
配置 从允许列表中删除威胁名称 mdatp threat allowed remove --name [threat-name]
配置 列出所有允许的威胁名称 mdatp threat allowed list
配置 启用 PUA 保护 mdatp threat policy set --type potentially_unwanted_application --action block
配置 关闭 PUA 保护 mdatp threat policy set --type potentially_unwanted_application --action off
配置 打开 PUA 保护的审核模式 mdatp threat policy set --type potentially_unwanted_application --action audit
配置 配置按需扫描的并行度 mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64]
配置 在安全智能更新后打开/关闭扫描 mdatp config scan-after-definition-update --value [enabled/disabled]
配置 仅) 启用/关闭存档扫描 (按需扫描 mdatp config scan-archives --value [enabled/disabled]
配置 打开/关闭文件哈希计算 mdatp config enable-file-hash-computation --value [enabled/disabled]
诊断 更改日志级别 mdatp log level set --level verbose [error|warning|info|verbose]
诊断 生成诊断日志 mdatp diagnostic create --path [directory]
诊断 保留的产品日志的大小限制 mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB]
运行状况 检查产品运行状况 mdatp health
保护 扫描路径 mdatp scan custom --path [path] [--ignore-exclusions]
保护 执行快速扫描 mdatp scan quick
保护 执行完全扫描 mdatp scan full
保护 取消正在进行的按需扫描 mdatp scan cancel
保护 请求安全智能更新 mdatp definitions update
保护 将安全智能回滚到原始默认设置 mdatp definitions restore
保护历史记录 打印完整的保护历史记录 mdatp threat list
保护历史记录 获取威胁详细信息 mdatp threat get --id [threat-id]
隔离管理 列出所有隔离的文件 mdatp threat quarantine list
隔离管理 从隔离区中删除所有文件 mdatp threat quarantine remove-all
隔离管理 将检测到为威胁的文件添加到隔离区 mdatp threat quarantine add --id [threat-id]
隔离管理 从隔离区中删除检测到威胁的文件 mdatp threat quarantine remove --id [threat-id]
隔离管理 从隔离区还原文件。 在低于 101.23092.0012 的 Defender for Endpoint 版本中可用。 mdatp threat quarantine restore --id [threat-id] --path [destination-folder]
隔离管理 使用威胁 ID 从隔离区还原文件。 在 Defender for Endpoint 版本 101.23092.0012 或更高版本中可用。 mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder]
隔离管理 使用威胁原始路径从隔离区还原文件。 在 Defender for Endpoint 版本 101.23092.0012 或更高版本中可用。 mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
终结点检测和响应 设置早期预览 mdatp edr early-preview [enabled\|disabled]
终结点检测和响应 设置 group-id mdatp edr group-ids --group-id [group-id]
终结点检测和响应 设置/删除标记,仅 GROUP 支持 mdatp edr tag set --name GROUP --value [tag]
终结点检测和响应 列出根) (排除项 mdatp edr exclusion list [processes|paths|extensions|all]

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区