Eseguire l'analizzatore client in macOS e Linux
XMDEClientAnalyzer viene usato per diagnosticare problemi di integrità o affidabilità Microsoft Defender per endpoint nei dispositivi caricati che eseguono Linux o macOS.
Esistono due modi per eseguire lo strumento analizzatore client:
- Uso di una versione binaria (nessuna dipendenza Python esterna)
- Uso di una soluzione basata su Python
Esecuzione della versione binaria dell'analizzatore client
Scaricare lo strumento XMDE Client Analyzer Binary nel computer macOS o Linux che è necessario analizzare.
Se si usa un terminale, scaricare lo strumento immettendo il comando seguente:wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
Verificare il download.
- Linux
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
- macOS
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
Estrarre il contenuto di XMDEClientAnalyzerBinary.zip nel computer.
Se si usa un terminale, estrarre i file immettendo il comando seguente:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
Passare alla directory dello strumento immettendo il comando seguente:
cd XMDEClientAnalyzerBinary
Vengono prodotti due nuovi file ZIP:
- SupportToolLinuxBinary.zip : per tutti i dispositivi Linux
- SupportToolMacOSBinary.zip : per i dispositivi Mac
Decomprimere uno dei due file ZIP precedenti in base al computer che è necessario analizzare.
Quando si usa un terminale, decomprimere il file immettendo uno dei comandi seguenti in base al tipo di sistema operativo:
Linux
unzip -q SupportToolLinuxBinary.zip
Mac
unzip -q SupportToolMacOSBinary.zip
Eseguire lo strumento come radice per generare il pacchetto di diagnostica:
sudo ./MDESupportTool -d
Esecuzione dell'analizzatore client basato su Python
Nota
- L'analizzatore dipende da alcuni pacchetti PIP aggiuntivi (
decorator
,sh
,distro
,lxml
epsutil
) installati nel sistema operativo quando sono nella radice per produrre l'output dei risultati. Se non è installato, l'analizzatore tenta di recuperarlo dal repository ufficiale per i pacchetti Python. - Inoltre, lo strumento richiede attualmente l'installazione di Python versione 3 o successiva nel dispositivo.
- Se il dispositivo si trova dietro un proxy, è sufficiente passare il server proxy come variabile di ambiente allo
mde_support_tool.sh
script. Ad esempio:https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
.
Avviso
L'esecuzione dell'analizzatore client basato su Python richiede l'installazione di pacchetti PIP che potrebbero causare alcuni problemi nell'ambiente. Per evitare che si verifichino problemi, è consigliabile installare i pacchetti in un ambiente PIP utente.
Scaricare lo strumento analizzatore client XMDE nel computer macOS o Linux che è necessario analizzare.
Se si usa un terminale, scaricare lo strumento eseguendo il comando seguente:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
Verificare il download
- Linux
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
- macOS
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | shasum -a 256 -c
Estrarre il contenuto di XMDEClientAnalyzer.zip nel computer. Se si usa un terminale, estrarre i file usando il comando seguente:
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
Modificare la directory nel percorso estratto.
cd XMDEClientAnalyzer
Concedere all'eseguibile dello strumento l'autorizzazione:
chmod a+x mde_support_tool.sh
Eseguire come utente non radice per installare le dipendenze necessarie:
./mde_support_tool.sh
Per raccogliere il pacchetto di diagnostica effettivo e generare il file di archivio dei risultati, eseguire di nuovo come radice:
sudo ./mde_support_tool.sh -d
Opzioni della riga di comando
Righe di comando primarie
Usare il comando seguente per ottenere la diagnostica del computer.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--interactive, -i Interactive diagnostic
--delay DELAY, -dd DELAY
Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Esempio di utilizzo: sudo ./MDESupportTool -d
NOTA: la funzionalità di reimpostazione automatica a livello di log è disponibile solo nella versione client 2405 o successiva.
Argomenti posizionale
Raccogliere informazioni sulle prestazioni
Raccogliere un'ampia traccia delle prestazioni del computer per l'analisi di uno scenario di prestazioni che può essere riprodotto su richiesta.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Esempio di utilizzo: sudo ./MDESupportTool performance --frequency 2
Usare la traccia del sistema operativo (solo per macOS)
Usare le funzionalità di traccia del sistema operativo per registrare le tracce delle prestazioni di Defender per endpoint.
Nota
Questa funzionalità esiste solo nella soluzione Python.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
Quando si esegue questo comando per la prima volta, viene installata una configurazione del profilo.
Seguire questa procedura per approvare l'installazione del profilo: Guida al supporto di Apple.
Esempio di utilizzo ./mde_support_tool.sh trace --length 5
Modalità di esclusione
Aggiungere esclusioni per il monitoraggio audit-d.
Nota
Questa funzionalità esiste solo per Linux.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Esempio di utilizzo: sudo ./MDESupportTool exclude -d /var/foo/bar
Limite di frequenza auditD
Sintassi che può essere usata per limitare il numero di eventi segnalati dal plug-in auditD. Questa opzione imposta il limite di frequenza a livello globale per AuditD causando un calo di tutti gli eventi di controllo. Quando il limitatore è abilitato, il numero di eventi controllati è limitato a 2500 eventi al secondo. Questa opzione può essere usata nei casi in cui viene visualizzato un utilizzo elevato della CPU dal lato AuditD.
Nota
Questa funzionalità esiste solo per Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Esempio di utilizzo: sudo ./mde_support_tool.sh ratelimit -e true
Nota
Questa funzionalità deve essere usata con attenzione in quanto limita il numero di eventi segnalati dal sottosistema controllato nel suo complesso. Ciò potrebbe ridurre anche il numero di eventi per altri sottoscrittori.
Regole di errore ignorate auditD
Questa opzione consente di ignorare le regole non valide aggiunte nel file delle regole controllate durante il caricamento. Questa opzione consente al sottosistema controllato di continuare a caricare le regole anche se è presente una regola difettosa. Questa opzione riepiloga i risultati del caricamento delle regole. In background, questa opzione esegue auditctl con l'opzione -c.
Nota
Questa funzionalità è disponibile solo in Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Esempio di utilizzo: sudo ./mde_support_tool.sh skipfaultyrules -e true
Nota
Questa funzionalità ignora le regole difettose. La regola difettosa deve quindi essere ulteriormente identificata e corretta.
Contenuto del pacchetto dei risultati in macOS e Linux
report.html
Descrizione: il file di output HTML principale che contiene i risultati e le indicazioni dell'esecuzione dello strumento analizzatore client nel dispositivo. Questo file viene generato solo quando si esegue la versione basata su Python dello strumento analizzatore client.
mde_diagnostic.zip
Descrizione: stesso output di diagnostica generato durante l'esecuzione di mdatp diagnostic create in macOS o Linux.
mde.xml
Descrizione: output XML generato durante l'esecuzione e usato per compilare il file di report HTML.
Processes_information.txt
Descrizione: contiene i dettagli dei processi correlati Microsoft Defender per endpoint in esecuzione nel sistema.
Log.txt
Descrizione: contiene gli stessi messaggi di log scritti sullo schermo durante la raccolta dati.
Health.txt
Descrizione: lo stesso output di integrità di base visualizzato durante l'esecuzione del comando di integrità mdatp .
Events.xml
Descrizione: file XML aggiuntivo usato dall'analizzatore durante la compilazione del report HTML.
Audited_info.txt
Descrizione: dettagli sul servizio controllato e sui componenti correlati per il sistema operativo Linux .
perf_benchmark.tar.gz
Descrizione: report di test delle prestazioni. Verrà visualizzato solo se si usa il parametro delle prestazioni.
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.