资源
希望体验 Defender for Endpoint? 注册免费试用版。
收集诊断信息
如果可以重现问题,请先提高日志记录级别,运行系统一段时间,然后将日志记录级别还原到默认值。
提高日志记录级别:
mdatp log level set --level debug
Log level configured successfully
重现问题。
运行以下命令,备份 Defender for Endpoint 的日志。 这些文件将存储在 .zip 存档中。
sudo mdatp diagnostic create
此命令还会在操作成功后输出备份的文件路径:
Diagnostic file created: <path to file>
还原日志记录级别:
mdatp log level set --level info
Log level configured successfully
日志安装问题
如果在安装过程中发生错误,安装程序将仅报告常规故障。
详细日志将保存到 /var/log/microsoft/mdatp/install.log
。
如果在安装过程中遇到问题,请将此文件发送给我们,以便我们帮助诊断原因。
卸载 Linux 上的 Defender for Endpoint
可通过多种方式卸载 Linux 上的 Defender for Endpoint。 如果使用 Puppet 等配置工具,请按照配置工具的包卸载说明进行操作。
手动卸载
-
sudo yum remove mdatp
对于 RHEL 和变体, (CentOS 和 Oracle Linux) 。 -
sudo zypper remove mdatp
用于 SLES 和变体。 -
sudo apt-get purge mdatp
用于 Ubuntu 和 Debian 系统。 -
sudo dnf remove mdatp
水手
从命令行进行配置
可以通过命令行完成重要任务,例如控制产品设置和触发按需扫描。
全局选项
默认情况下,命令行工具以人工可读格式输出结果。 此外,该工具还支持将结果输出为 JSON,这对于自动化方案非常有用。 若要将输出更改为 JSON,请传递给 --output json
以下任一命令。
支持的命令
下表列出了一些最常见方案的命令。 从终端运行 mdatp help
以查看受支持命令的完整列表。
组 | 应用场景 | 命令 |
---|---|---|
配置 | 打开/关闭实时保护 | mdatp config real-time-protection --value [enabled\|disabled] |
配置 | 打开/关闭行为监视 | mdatp config behavior-monitoring --value [enabled\|disabled] |
配置 | 打开/关闭云保护 | mdatp config cloud --value [enabled\|disabled] |
配置 | 打开/关闭产品诊断 | mdatp config cloud-diagnostic --value [enabled\|disabled] |
配置 | 打开/关闭自动示例提交 | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
配置 | 打开/关闭 AV 被动模式 | mdatp config passive-mode --value [enabled\|disabled] |
配置 | 为文件扩展名添加/删除防病毒排除项 | mdatp exclusion extension [add\|remove] --name [extension] |
配置 | 为文件添加/删除防病毒排除项 | mdatp exclusion file [add\|remove] --path [path-to-file] |
配置 | 为目录添加/删除防病毒排除项 | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
配置 | 为进程添加/删除防病毒排除项 | mdatp exclusion process [add\|remove] --path [path-to-process] |
配置 | 添加/删除文件的全局排除项 | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
配置 | 添加/删除目录的全局排除项 | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
配置 | 为进程添加/删除全局排除项 | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
配置 | 列出所有防病毒排除项 | mdatp exclusion list |
配置 | 向允许列表添加威胁名称 | mdatp threat allowed add --name [threat-name] |
配置 | 从允许列表中删除威胁名称 | mdatp threat allowed remove --name [threat-name] |
配置 | 列出所有允许的威胁名称 | mdatp threat allowed list |
配置 | 启用 PUA 保护 | mdatp threat policy set --type potentially_unwanted_application --action block |
配置 | 关闭 PUA 保护 | mdatp threat policy set --type potentially_unwanted_application --action off |
配置 | 打开 PUA 保护的审核模式 | mdatp threat policy set --type potentially_unwanted_application --action audit |
配置 | 配置按需扫描的并行度 | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
配置 | 在安全智能更新后打开/关闭扫描 | mdatp config scan-after-definition-update --value [enabled/disabled] |
配置 | 仅) 启用/关闭存档扫描 (按需扫描 | mdatp config scan-archives --value [enabled/disabled] |
配置 | 打开/关闭文件哈希计算 | mdatp config enable-file-hash-computation --value [enabled/disabled] |
诊断 | 更改日志级别 | mdatp log level set --level verbose [error|warning|info|verbose] |
诊断 | 生成诊断日志 | mdatp diagnostic create --path [directory] |
诊断 | 保留的产品日志的大小限制 | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
运行状况 | 检查产品运行状况 | mdatp health |
保护 | 扫描路径 | mdatp scan custom --path [path] [--ignore-exclusions] |
保护 | 执行快速扫描 | mdatp scan quick |
保护 | 执行完全扫描 | mdatp scan full |
保护 | 取消正在进行的按需扫描 | mdatp scan cancel |
保护 | 请求安全智能更新 | mdatp definitions update |
保护 | 将安全智能回滚到原始默认设置 | mdatp definitions restore |
保护历史记录 | 打印完整的保护历史记录 | mdatp threat list |
保护历史记录 | 获取威胁详细信息 | mdatp threat get --id [threat-id] |
隔离管理 | 列出所有隔离的文件 | mdatp threat quarantine list |
隔离管理 | 从隔离区中删除所有文件 | mdatp threat quarantine remove-all |
隔离管理 | 将检测到为威胁的文件添加到隔离区 | mdatp threat quarantine add --id [threat-id] |
隔离管理 | 从隔离区中删除检测到威胁的文件 | mdatp threat quarantine remove --id [threat-id] |
隔离管理 | 从隔离区还原文件。 在低于 101.23092.0012 的 Defender for Endpoint 版本中可用。 | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
隔离管理 | 使用威胁 ID 从隔离区还原文件。 在 Defender for Endpoint 版本 101.23092.0012 或更高版本中可用。 | mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
隔离管理 | 使用威胁原始路径从隔离区还原文件。 在 Defender for Endpoint 版本 101.23092.0012 或更高版本中可用。 | mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
终结点检测和响应 | 设置早期预览 | mdatp edr early-preview [enabled\|disabled] |
终结点检测和响应 | 设置 group-id | mdatp edr group-ids --group-id [group-id] |
终结点检测和响应 | 设置/删除标记,仅 GROUP 支持 |
mdatp edr tag set --name GROUP --value [tag] |
终结点检测和响应 | 列出根) (排除项 | mdatp edr exclusion list [processes|paths|extensions|all] |
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。