在 macOS 上執行用戶端分析器

發行項
01/09/2025

如果您在macOS上遇到適用於端點的 Microsoft Defender的可靠性或裝置健康情況問題，您可以使用 XMDE 用戶端分析器來診斷這些問題。本文說明使用用戶端分析器工具的兩種方式：

使用二進位版本 (沒有外部 Python 相依性)
使用以 Python 為基礎的解決方案

使用用戶端分析器的二進位版本

將 XMDE 用戶端分析器二進位工具下載到您需要調查的 macOS 機器。

如果您使用終端機，請執行下列命令來下載工具：
```
wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
```

確認下載。

echo '4E96E75B16244BB25BDBF34CBB3EB596BC2E9CE368BC4E532E8AE12DF2A1E19D  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c

擷取計算機上的內容 XMDEClientAnalyzerBinary.zip 。

如果您使用終端機，請執行下列命令來擷取檔案：
```
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
```
執行下列命令來變更工具的目錄：
```
cd XMDEClientAnalyzerBinary
```
請注意，系統會產生下列兩個壓縮檔案：
- SupportToolLinuxBinary.zip：適用於所有Linux裝置
- SupportToolMacOSBinary.zip：針對 Mac 裝置
解壓縮 SupportToolMacOSBinary.zip。
```
 unzip -q SupportToolMacOSBinary.zip
```
以 root 身分執行工具以產生診斷套件：
```
sudo ./MDESupportTool -d
```

使用以 Python 為基礎的用戶端分析器

用戶端分析器相依於少數額外的 PIP 套件， (decorator、 sh、 distro、 lxml和 psutil) 在根模式下安裝在作業系統中，以產生結果輸出。如果未安裝，分析器會嘗試從 Python 套件的官方存放庫擷取它。

此工具目前需要在裝置上安裝 Python 第 3 版或更新版本。如果您的裝置位於 Proxy 後方，則您可以將 Proxy 伺服器當作環境變數傳遞至 mde_support_tool.sh 腳本。例如：https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"。

警告

執行以 Python 為基礎的用戶端分析器需要安裝 PIP 套件，這可能會在您的環境中造成一些問題。若要避免發生問題，建議您將套件安裝到使用者 PIP 環境中。

將 XMDE 用戶端分析器工具下載到您正在調查的 Mac 計算機。

如果您使用終端機，請執行下列命令來下載工具：
```
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
```

確認下載。

作業系統	命令
Linux	`echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip'\| sha256sum -c`
macOS	`echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip'\| shasum -a 256 -c`

擷取計算機上的內容 XMDEClientAnalyzer.zip 。

如果您使用終端機，請使用下列命令來擷取檔案：
```
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
```
將目錄變更為擷取的位置。
```
cd XMDEClientAnalyzer
```
授與工具可執行檔案權限：
```
chmod a+x mde_support_tool.sh
```
以非路由使用者身分執行以安裝必要的相依性：
```
./mde_support_tool.sh
```
當您在macOS上下載檔時，它會自動新增名為 com.apple.quarantine 的新擴充屬性，閘道守衛會加以掃描。執行之前，您會想要移除此擴充屬性：
```
xattr -c MDESupportTools
```
否則，您可能會收到下列警告：

「您可能會收到未開啟的 “MDESupportTool”

Apple 無法驗證 “MDESupportTool” 沒有惡意代碼，可能會損害您的 Mac 或危害您的隱私權」
若要收集實際的診斷封裝併產生結果封存盤案，請以 root 身分再次執行：
```
sudo ./mde_support_tool.sh -d
```

命令行選項

主要命令行

使用下列命令來取得機器診斷。

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

使用範例： sudo ./MDESupportTool -d

注意事項

記錄層級自動重設功能僅適用於 2405 或較新的用戶端版本。

位置自變數

收集效能資訊

收集廣泛的機器效能追蹤，以分析可視需要重現的效能案例。

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

使用範例： sudo ./MDESupportTool performance --frequency 2

僅針對macOS使用OS追蹤 ()

使用OS追蹤功能來記錄適用於端點的Defender效能追蹤。

注意事項

這項功能僅存在於 Python 解決方案中。

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

第一次執行此命令時，它會安裝配置檔組態。

若要核准配置檔安裝，請參閱 Apple支援指南。

使用範例 ./mde_support_tool.sh trace --length 5

macOS 上的結果套件內容

檔案	描述
`report.html`	主要 HTML 輸出檔案，其中包含在裝置上執行用戶端分析器工具的結果和指引。只有在執行以 Python 為基礎的用戶端分析器工具版本時，才會產生此檔案。
`mde_diagnostic.zip`	在macOS上執行時`mdatp diagnostic create`所產生的相同診斷輸出。
`mde.xml`	執行時產生的 XML 輸出，用來建置 html 報表檔案。
`Processes_information.txt`	包含系統上執行中適用於端點的 Microsoft Defender 相關進程的詳細數據。
`Log.txt`	包含數據收集期間在畫面上寫入的相同記錄訊息。
`Health.txt`	執行 mdatp health 命令時所顯示的相同基本健康情況輸出。
`Events.xml`	在建置 HTML 報表時，分析器所使用的另一個 XML 檔案。
`Audited_info.txt`	Linux OS 稽核服務和相關元件的詳細數據。
`perf_benchmark.tar.gz`	效能測試報告。只有在您使用performance 參數時，才會看到此檔案。