在 Linux 上執行用戶端分析器
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
如果您在 Linux 上遇到適用於端點的 Defender 的可靠性或裝置健康情況問題,而且您連絡支援人員,系統可能會要求您提供 適用於端點的 Microsoft Defender Client Analyzer 工具的輸出套件。 本文說明如何在裝置本機使用用戶端分析器工具,或搭配即時回應使用。 不論是哪一種情況,您都可以使用以 Python 為基礎的解決方案或沒有外部 Python 相依性的二進位版本。
在適用於端點的Defender中使用即時回應來收集支持記錄
XMDE 用戶端分析器工具可以下載為 二進位 或 Python 套件,可在 Linux 機器上擷取和執行。 這兩個版本的 XMDE 用戶端分析器都可以在即時回應會話期間執行。
- 若要進行安裝,
unzip則需要套件。 - 若要執行,
acl則需要封裝。
重要事項
視窗會使用歸位字元和換行字元不可見字元來代表檔案中一行的結尾和新行的開頭,但是 Linux 系統只會在其文件行結尾使用行摘要不可見的字元。 使用下列腳本時,如果是在 Windows 上完成,此差異可能會導致腳本執行錯誤和失敗。 其中一個可能的解決方案是利用 Windows 子系統 Linux 版和dos2unix套件來重新格式化腳本,使其與 Unix 和 Linux 格式標準一致。
安裝 XMDE 用戶端分析器
下載並擷取 XMDE 用戶端分析器。 您可以使用二進位或 Python 版本,如下所示:
由於即時回應中可用的命令有限,因此必須在Bash腳本中執行詳細步驟。 藉由分割這些命令的安裝和執行部分,就可以執行安裝腳本一次,並多次執行執行腳本。
重要事項
範例腳本假設計算機具有直接的因特網存取權,而且可以從Microsoft擷取 XMDE 用戶端分析器。 如果計算機沒有直接的因特網存取權,則必須更新安裝腳本,以從機器可以成功存取的位置擷取 XMDE 用戶端分析器。
二進位用戶端分析器安裝腳本
下列腳本會執行執行 用戶端分析器二進位版本的前六個步驟。 完成時,可從 /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer 目錄取得 XMDE 用戶端分析器二進位檔。
建立Bash檔案
InstallXMDEClientAnalyzer.sh,並將下列內容貼到其中。#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517 echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
Python 用戶端分析器安裝腳本
下列腳本會執行執行 Python 版用戶端分析器的前六個步驟。 完成時,可從 /tmp/XMDEClientAnalyzer 目錄取得 XMDE 用戶端分析器 Python 腳本。
建立Bash檔案
InstallXMDEClientAnalyzer.sh,並將下列內容貼到其中。#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
執行用戶端分析器安裝文稿
在您想要調查的電腦上起始 實時回應會話 。
選 取 [將檔案上傳至文檔庫]。
選 取 [選擇檔案]。
選取名為 的
InstallXMDEClientAnalyzer.sh下載檔,然後選取 [ 確認]。當仍在 LiveResponse 工作階段中時,請使用下列命令來安裝分析器:
run InstallXMDEClientAnalyzer.sh
執行 XMDE 用戶端分析器
即時回應不支援直接執行 XMDE 用戶端分析器或 Python,因此需要執行腳本。
重要事項
下列文稿假設 XMDE 用戶端分析器是使用先前所述文稿中的相同位置來安裝。 如果您的組織已選擇將腳本安裝到不同的位置,則必須更新腳本,以符合您組織選擇的安裝位置。
二進位用戶端分析器執行腳本
用戶端分析器的二進位版本接受命令行參數來執行不同的分析測試。 為了在即時回應期間提供類似的功能,執行腳本會利用 $@ bash變數,將提供給腳本的所有輸入參數傳遞至 XMDE 用戶端分析器。
建立Bash檔案
MDESupportTool.sh,並將下列內容貼到其中。#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
Python 用戶端分析器執行腳本
用戶端分析器的 Python 版本接受命令行參數來執行不同的分析測試。 為了在即時回應期間提供類似的功能,執行腳本會利用 $@ bash變數,將提供給腳本的所有輸入參數傳遞至 XMDE 用戶端分析器。
建立Bash檔案
MDESupportTool.sh,並將下列內容貼到其中。#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
執行用戶端分析器腳本
注意事項
如果您有作用中的即時回應會話,您可以略過步驟 1。
在您想要調查的電腦上起始 實時回應會話 。
選 取 [將檔案上傳至文檔庫]。
選 取 [選擇檔案]。
選取名為 的
MDESupportTool.sh下載檔,然後選取 [ 確認]。當仍在即時回應會話中時,請使用下列命令來執行分析器並收集產生的檔案:
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
在本機收集 適用於端點的 Microsoft Defender 支持記錄
本節提供如何在Linux機器本機執行工具的指示。
執行用戶端分析器的二進位版本
摘要
從 https://go.microsoft.com/fwlink/?linkid=2297517取得。 或者,如果您的 Linux 伺服器具有因特網存取權,請使用
wget下載檔:wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517解壓縮所下載的檔案,然後將解壓縮的檔案再次解壓縮 SupportToolLinuxBinary.zip
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary執行二進位檔
sudo ./MDESupportTool -d --mdatp-log debug遵循畫面上的指示,然後在記錄收集結束時追蹤,記錄會位於 目錄中
/tmp。記錄集將由根用戶擁有,因此您可能需要根許可權才能移除記錄集。
上傳支持工程師的檔案。
詳細資料
將 XMDE 用戶端分析器二進位 工具下載到您需要調查的 Linux 機器。
如果您使用終端機,請輸入下列命令來下載工具:
wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517確認下載。
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c擷取計算機上 的內容
XMDEClientAnalyzerBinary.zip。如果您使用終端機,請輸入下列命令來擷取檔案:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary輸入下列命令以變更工具的目錄:
cd XMDEClientAnalyzerBinary系統會產生兩個新的 zip 檔案:
-
SupportToolLinuxBinary.zip:適用於所有Linux裝置 -
SupportToolMacOSBinary.zip:針對 Mac 裝置,請忽略此裝置。
-
解壓縮您想要調查之Linux機器的 SupportToolLinuxBinary.zip。
unzip -q SupportToolLinuxBinary.zip以 root 身分執行工具以產生診斷封裝:
sudo ./MDESupportTool -d
執行以 Python 為基礎的用戶端分析器
注意事項
- 分析器相依於 (、、
distrosh、lxml和psutil) 幾個額外的 PIP 套件,這些套件decorator會在根目錄中時安裝在操作系統中,以產生結果輸出。 如果未安裝,分析器會嘗試從 Python 套件的官方存放庫擷取它。 - 此外,此工具目前需要在您的裝置上安裝 Python 第 3 版或更新版本。
- 如果您的裝置位於 Proxy 後方,則可以直接將 Proxy 伺服器當作環境變數傳遞至
mde_support_tool.sh腳本。 例如:https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"。
警告
執行 Python 型用戶端分析器需要安裝 PIP 套件,這可能會在您的環境中造成一些問題。 若要避免發生問題,建議您將套件安裝到使用者 PIP 環境中。
將 XMDE 用戶端分析器 工具下載到您需要調查的 Linux 電腦。
如果您使用終端機,請執行下列命令來下載工具:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer確認下載。
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c擷取計算機上 的內容
XMDEClientAnalyzer.zip。如果您使用終端機,請使用下列命令來擷取檔案:
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer將您的目錄變更為擷取的位置。
cd XMDEClientAnalyzer授與工具可執行檔案權限:
chmod a+x mde_support_tool.sh以非路由使用者身分執行 以安裝必要的相依性:
./mde_support_tool.sh若要收集實際的診斷封裝併產生結果封存盤案,請以 root 身分再次執行:
sudo ./mde_support_tool.sh -d
命令行選項
主要命令行
使用下列命令來取得機器診斷。
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--interactive, -i Interactive diagnostic
--delay DELAY, -dd DELAY
Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
使用範例: sudo ./MDESupportTool -d
注意事項
記錄層級自動重設功能僅適用於 2405 或較新的用戶端版本。
位置自變數
收集效能資訊
收集廣泛的機器效能追蹤,以分析可視需要重現的效能案例。
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
使用範例: sudo ./MDESupportTool performance --frequency 2
排除模式
新增稽核監視的排除專案。
注意事項
這項功能僅適用於Linux。
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
使用範例: sudo ./MDESupportTool exclude -d /var/foo/bar
AuditD 速率限制器
可用來限制 auditD 外掛程式所報告事件數目的語法。 此選項會全域設定 AuditD 的速率限制,以造成所有稽核事件的下降。 啟用限制器時,稽核的事件數目限制為每秒 2500 個事件。在我們看到 AuditD 端的 CPU 使用率偏高時,可以使用此選項。
注意事項
這項功能僅適用於Linux。
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
使用範例: sudo ./mde_support_tool.sh ratelimit -e true
注意事項
此功能應謹慎使用,以限制稽核子系統整體報告的事件數目。 這也可以減少其他訂閱者的事件數目。
AuditD 略過錯誤規則
這個選項可讓您在載入稽核規則檔案時略過新增的錯誤規則。 此選項可讓稽核的子系統繼續載入規則,即使有錯誤的規則也一致。 此選項摘要說明載入規則的結果。 在背景中,此選項會使用 -c 選項來執行 auditctl。
注意事項
此功能僅適用於Linux。
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
使用範例: sudo ./mde_support_tool.sh skipfaultyrules -e true
注意事項
這項功能將會略過錯誤的規則。 然後必須進一步識別並修正錯誤的規則。
Linux 上的結果套件內容
| 檔案 | 描述 |
|---|---|
report.html |
主要 HTML 輸出檔案,其中包含在裝置上執行用戶端分析器工具的結果和指引。 只有在執行以 Python 為基礎的用戶端分析器工具版本時,才會產生此檔案。 |
mde_diagnostic.zip |
在 Linux 上執行 mdatp diagnostic create 時所產生的相同診斷輸出。 |
mde.xml |
執行 時產生的 XML 輸出,用來建置 html 報表檔案。 |
Processes_information.txt |
包含系統上執行中 適用於端點的 Microsoft Defender 相關進程的詳細數據。 |
Log.txt |
包含數據收集期間在畫面上寫入的相同記錄訊息。 |
Health.txt |
執行 mdatp health 命令時所顯示的相同基本健康情況輸出。 |
Events.xml |
在建置 HTML 報表時,分析器所使用的另一個 XML 檔案。 |
Audited_info.txt |
Linux OS 稽核服務和相關元件的詳細數據。 |
perf_benchmark.tar.gz |
效能測試報告。 只有在您使用performance 參數時,才會看到此檔案。 |
另請參閱
Linux 上適用於端點的 Defender 疑難解答檔
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。