macOS または Linux でクライアント アナライザーを実行する
XMDEClientAnalyzer は、Linux または macOS を実行しているオンボード デバイスMicrosoft Defender for Endpoint正常性または信頼性の問題を診断するために使用されます。
クライアント アナライザー ツールを実行するには、次の 2 つの方法があります。
- バイナリ バージョンの使用 (外部 Python 依存関係なし)
- Python ベースのソリューションの使用
クライアント アナライザーのバイナリ バージョンの実行
調査する必要がある macOS または Linux マシンに XMDE クライアント アナライザー バイナリ ツールをダウンロードします。
ターミナルを使用している場合は、次のコマンドを入力してツールをダウンロードします。wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
ダウンロードを確認します。
- Linux
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
- macOS
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
マシン上の XMDEClientAnalyzerBinary.zip の内容を抽出します。
ターミナルを使用している場合は、次のコマンドを入力してファイルを抽出します。
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
次のコマンドを入力して、ツールのディレクトリに移動します。
cd XMDEClientAnalyzerBinary
2 つの新しい zip ファイルが生成されます。
- SupportToolLinuxBinary.zip : すべての Linux デバイス
- SupportToolMacOSBinary.zip : Mac デバイスの場合
調査する必要があるマシンに基づいて、上記の 2 つの zip ファイルのいずれかを解凍します。
ターミナルを使用する場合は、OS の種類に基づいて次のいずれかのコマンドを入力してファイルを解凍します。
Linux
unzip -q SupportToolLinuxBinary.zip
Mac
unzip -q SupportToolMacOSBinary.zip
ルートとしてツールを実行して診断パッケージを生成します。
sudo ./MDESupportTool -d
Python ベースのクライアント アナライザーの実行
注:
- アナライザーは、結果の出力を生成するために、オペレーティング システムにインストールされているいくつかの追加の PIP パッケージ (
decorator
、sh
、distro
、lxml
、およびpsutil
) に依存します。 インストールされていない場合、アナライザーは Python パッケージの公式リポジトリからフェッチしようとします。 - さらに、このツールでは現在、Python バージョン 3 以降をデバイスにインストールする必要があります。
- デバイスがプロキシの背後にある場合は、プロキシ サーバーを環境変数として
mde_support_tool.sh
スクリプトに渡すだけです。 例:https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
。
警告
Python ベースのクライアント アナライザーを実行するには、PIP パッケージをインストールする必要があります。これは、環境内で問題が発生する可能性があります。 問題が発生しないように、パッケージをユーザー PIP 環境にインストールすることをお勧めします。
調査する必要がある macOS または Linux コンピューターに XMDE クライアント アナライザー ツールをダウンロードします。
ターミナルを使用している場合は、次のコマンドを実行してツールをダウンロードします。
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
ダウンロードを確認する
- Linux
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
- macOS
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | shasum -a 256 -c
コンピューター上の MDEClientAnalyzer.zip の内容を抽出します。 ターミナルを使用している場合は、次のコマンドを使用してファイルを抽出します。
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
ディレクトリを抽出された場所に変更します。
cd XMDEClientAnalyzer
ツールの実行可能なアクセス許可を付与します。
chmod a+x mde_support_tool.sh
ルート以外のユーザーとして実行して、必要な依存関係をインストールします。
./mde_support_tool.sh
実際の診断パッケージを収集し、結果アーカイブ ファイルを生成するには、ルートとしてもう一度実行します。
sudo ./mde_support_tool.sh -d
コマンド ライン オプション
プライマリ コマンド ライン
次のコマンドを使用して、マシン診断を取得します。
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--interactive, -i Interactive diagnostic
--delay DELAY, -dd DELAY
Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
使用例: sudo ./MDESupportTool -d
注: ログ レベルの自動リセット機能は、2405 以降のクライアント バージョンでのみ使用できます。
位置指定引数
パフォーマンス情報を収集する
必要に応じて再現できるパフォーマンス シナリオの分析のために、広範なマシン パフォーマンス トレースを収集します。
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
使用例: sudo ./MDESupportTool performance --frequency 2
OS トレースを使用する (macOS の場合のみ)
OS トレース機能を使用して、Defender for Endpoint パフォーマンス トレースを記録します。
注:
この機能は Python ソリューションにのみ存在します。
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
このコマンドを初めて実行すると、プロファイル構成がインストールされます。
プロファイルのインストールを承認するには、 Apple サポート ガイドを参照してください。
使用例 ./mde_support_tool.sh trace --length 5
除外モード
audit-d 監視の除外を追加します。
注:
この機能は Linux 専用です。
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
使用例: sudo ./MDESupportTool exclude -d /var/foo/bar
AuditD Rate Limiter
auditD プラグインによって報告されるイベントの数を制限するために使用できる構文。 このオプションでは、AuditD のレート制限がグローバルに設定され、すべての監査イベントが低下します。 リミッターが有効になっている場合、監査されたイベントの数は 2500 イベント/秒に制限されます。このオプションは、AuditD 側から CPU 使用率が高い場合に使用できます。
注:
この機能は Linux 専用です。
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
使用例: sudo ./mde_support_tool.sh ratelimit -e true
注:
この機能は、監査されたサブシステム全体によって報告されるイベントの数を制限するために慎重に使用する必要があります。 これにより、他のサブスクライバーのイベントの数も減る可能性があります。
AuditD Skip Faulty Rules
このオプションを使用すると、監査されたルール ファイルに追加されたエラーのあるルールを読み込み中にスキップできます。 このオプションを使用すると、障害のあるルールがある場合でも、監査済みサブシステムでルールの読み込みを続行できます。 このオプションは、ルールの読み込みの結果をまとめたものです。 バックグラウンドでは、このオプションは -c オプションを使用して auditctl を実行します。
注:
この機能は Linux でのみ使用できます。
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
使用例: sudo ./mde_support_tool.sh skipfaultyrules -e true
注:
この機能は、障害のあるルールをスキップします。 その後、障害のあるルールをさらに特定して修正する必要があります。
macOS と Linux 上の結果パッケージの内容
report.html
説明: デバイスでクライアント アナライザー ツールを実行した結果とガイダンスを含むメイン HTML 出力ファイル。 このファイルは、Python ベースのバージョンのクライアント アナライザー ツールを実行している場合にのみ生成されます。
mde_diagnostic.zip
mde.xml
説明: 実行中に生成され、HTML レポート ファイルの作成に使用される XML 出力。
Processes_information.txt
説明: システム上で実行中のMicrosoft Defender for Endpoint関連プロセスの詳細が含まれます。
Log.txt
説明: データ収集中に画面に書き込まれたのと同じログ メッセージが含まれます。
Health.txt
説明: mdatp 正常性コマンドの実行時に表示されるのと同じ基本的な正常性出力。
Events.xml
説明: HTML レポートの作成時にアナライザーによって使用される追加の XML ファイル。
Audited_info.txt
説明: 監査されたサービスと Linux OS の関連コンポーネントの詳細。
perf_benchmark.tar.gz
説明: パフォーマンス テストレポート。 これは、パフォーマンス パラメーターを使用している場合にのみ表示されます。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。