在 macOS 上运行客户端分析器

如果在 macOS 上遇到Microsoft Defender for Endpoint的可靠性或设备运行状况问题，可以使用 XMDE 客户端分析器来诊断这些问题。 本文介绍使用客户端分析器工具的两种方法：

1. 使用二进制版本 (没有外部 Python 依赖项)
2. 使用基于 Python 的解决方案

使用客户端分析器的二进制版本

1. 将 XMDE 客户端分析器二进制 工具下载到需要调查的 macOS 计算机。

   如果使用终端，请运行以下命令下载该工具：

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. 验证下载。

   echo '4E96E75B16244BB25BDBF34CBB3EB596BC2E9CE368BC4E532E8AE12DF2A1E19D  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
   

3. 在计算机上提取 的内容 XMDEClientAnalyzerBinary.zip 。

   如果使用终端，请运行以下命令来提取文件：

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. 通过运行以下命令来更改工具的目录：

   cd XMDEClientAnalyzerBinary
   

5. 请注意，将生成以下两个压缩文件：

   • SupportToolLinuxBinary.zip：对于所有 Linux 设备
   • SupportToolMacOSBinary.zip：对于 Mac 设备

6. 解压缩 SupportToolMacOSBinary.zip。

    unzip -q SupportToolMacOSBinary.zip
   

7. 以 root 身份运行该工具以生成诊断包：

   sudo ./MDESupportTool -d
   

使用基于 Python 的客户端分析器

客户端分析器依赖于几个额外的 PIP 包， decorator (、 sh、 distro、 lxml和 psutil) ，这些包在根模式下安装在操作系统中以生成结果输出。 如果未安装，分析器会尝试从 Python 包的官方存储库中提取它。

该工具当前需要在设备上安装 Python 版本 3 或更高版本。 如果设备位于代理后面，则可以将代理服务器作为环境变量传递给 mde_support_tool.sh 脚本。 例如：https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"。

警告

运行基于 Python 的客户端分析器需要安装 PIP 包，这可能会导致环境中的一些问题。 为了避免出现问题，建议将包安装到用户 PIP 环境中。

1. 将 XMDE 客户端分析器 工具下载到正在调查的 Mac 计算机。

   如果使用终端，请运行以下命令下载该工具：

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. 验证下载。

   操作系统	命令
   Linux	echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip'| sha256sum -c
   macOS	echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip'| shasum -a 256 -c

3. 在计算机上提取 的内容 XMDEClientAnalyzer.zip 。

   如果使用的是终端，请使用以下命令提取文件：

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. 将目录更改为提取的位置。

   cd XMDEClientAnalyzer
   

5. 为工具授予可执行权限：

   chmod a+x mde_support_tool.sh
   

6. 以非根用户身份运行以安装所需的依赖项：

   ./mde_support_tool.sh
   

7. 在 macOS 上下载文件时，它会自动添加名为 com.apple.quarantine 的新扩展属性，该属性由 Gatekeeper 扫描。 在运行之前，需要删除此扩展属性：

   xattr -c MDESupportTools
   

   否则，可能会收到以下警告：

   “你可能会收到未打开的”MDESupportTool”

   Apple 无法验证“MDESupportTool”是否没有可能损害 Mac 或侵犯你的隐私的恶意软件”

8. 若要收集实际诊断包并生成结果存档文件，请再次以 root 身份运行：

   sudo ./mde_support_tool.sh -d
   

命令行选项

主命令行

使用以下命令获取计算机诊断。

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

用法示例： sudo ./MDESupportTool -d

注意

日志级别自动重置功能仅在 2405 或更高版本的客户端版本中可用。

位置参数

收集性能信息

收集广泛的计算机性能跟踪，以便分析可按需重现的性能方案。

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

用法示例： sudo ./MDESupportTool performance --frequency 2

仅将 OS 跟踪 (用于 macOS)

使用 OS 跟踪设施记录 Defender for Endpoint 性能跟踪。

注意

此功能仅存在于 Python 解决方案中。

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

首次运行此命令时，它会安装配置文件配置。

若要批准配置文件安装，请参阅 Apple 支持指南。

用法示例 ./mde_support_tool.sh trace --length 5

macOS 上的结果包内容

文件	说明
report.html	main HTML 输出文件，其中包含在设备上运行客户端分析器工具的结果和指南。 仅当运行基于 Python 的客户端分析器工具版本时，才会生成此文件。
mde_diagnostic.zip	在 macOS 上运行mdatp diagnostic create时生成的相同诊断输出。
mde.xml	运行时生成的 XML 输出，用于生成 html 报告文件。
Processes_information.txt	包含系统上正在运行Microsoft Defender for Endpoint相关进程的详细信息。
Log.txt	包含数据收集期间在屏幕上写入的相同日志消息。
Health.txt	运行 mdatp health 命令时显示的相同基本运行状况输出。
Events.xml	分析器在生成 HTML 报表时使用的另一个 XML 文件。
Audited_info.txt	有关 Linux OS 的审核服务和相关组件的详细信息。
perf_benchmark.tar.gz	性能测试报告。 仅当使用性能参数时，才会看到此文件。

另请参阅

macOS 上的 Defender for Endpoint 故障排除

macOS 上Microsoft Defender for Endpoint中的故障排除模式

排查 macOS 上Microsoft Defender for Endpoint的安装问题

排查 macOS 上Microsoft Defender for Endpoint的许可证问题

排查 macOS 上的 Microsoft Defender for Endpoint 中的系统扩展问题

排查 macOS 上Microsoft Defender for Endpoint的云连接问题

有关如何排查 macOS 上Microsoft Defender for Endpoint性能问题的概述

解决 Microsoft Defender for Endpoint 中的误报/漏报

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。