Kör klientanalysen på Linux

Gäller för: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Om du har problem med Microsoft Defender för Endpoint på Linux och behöver support kan du bli ombedd att ange utdata från verktyget Client Analyzer. Det är ett diagnostikverktyg som hjälper administratörer och supportteam att felsöka problem med Microsoft Defender för Endpoint. Den samlar in detaljerad information om installation, konfiguration, tjänsthälsa, loggar, anslutningsstatus osv. Det här verktyget används främst för att kontrollera systemets hälsa, verifiera konfigurationer och hjälpa till att felsöka potentiella problem.

Den här artikeln beskriver hur du använder verktyget på enheten eller med livesvar. Du kan använda antingen en Python-baserad lösning eller en binär version som inte behöver Python.

Tips

Titta på den här videon för att få en översikt över klientanalysen: Översikt över Klientanalys för Defender för Endpoint

Kör den binära versionen av klientanalysen

Den binära versionen av klientanalys görs tillgänglig på två sätt:

Levereras med Microsoft Defender för Linux
Levereras som ett fristående verktyg

Kör binärfilen Client Analyzer som levereras med Microsoft Defender för Linux:

Obs!

Från och med den Microsoft Defender för Endpoint versionen 101.25082.0000levereras Client Analyzer med en agent. Den finns på följande plats: /opt/microsoft/mdatp/tools/client_analyzer/binary

När du kör det här verktyget genereras ett diagnostikpaket som en .zip fil i /tmp katalogen.

Så här kör du Client Analyzer:

Gå till katalogen /opt/microsoft/mdatp/tools/client_analyzer/binary:
```
cd /opt/microsoft/mdatp/tools/client_analyzer/binary
```
Kör verktyget med rotprivilegier för att generera ett diagnostikpaket:
```
sudo ./MDESupportTool -d
```

Ladda ned och kör det fristående binära verktyget Client Analyzer

Utför följande steg för att använda den fristående ClientAnalyzer-binärfilen.

Ladda ned verktyget XMDE Client Analyzer Binary till den Linux dator som du behöver undersöka. Om du använder en terminal laddar du ned verktyget genom att ange följande kommando:
```
wget --quiet -O XMDEClientAnalyzerBinary.zip "https://go.microsoft.com/fwlink/?linkid=2336125"
```

Kontrollera nedladdningen:

echo '0C8F010D09557478E0CF626D439D5F7EAB1F6C7EEFF69FF1E98A7289520983E1 XMDEClientAnalyzerBinary.zip' | sha256sum -c

Extrahera innehållet XMDEClientAnalyzerBinary.zip i på datorn.

unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

Ändra katalogen:
```
cd XMDEClientAnalyzerBinary
```
Två nya zip-filer skapas:
- SupportToolLinuxamd64Binary.zip: För x86-Linux-enheter
- SupportToolLinuxarm64Binary.zip: För ARM Linux-enheter
Packa upp den specifika zip-filen baserat på din Linux OS-arkitektur. Vi använder till exempel filen här SupportToolLinuxamd64Binary.zip .
```
unzip -q SupportToolLinuxamd64Binary.zip
```
Kör verktyget med rotprivilegier för att generera ett diagnostikpaket:
```
sudo ./MDESupportTool -d
```

Kör den Python-baserade klientanalysen

Python-versionen av klientanalys görs tillgänglig på två sätt:

Levereras med Microsoft Defender för Linux
Levereras som ett fristående verktyg

Obs!

Analysatorn är beroende av några extra PIP-paket (decorator, , shdistro, lxmloch psutil) som installeras i operativsystemet när de är i roten för att generera resultatutdata. Om det inte är installerat försöker analysatorn hämta det från den officiella lagringsplatsen för Python-paket.
Dessutom kräver verktyget för närvarande att Python version 3 eller senare installeras på enheten.
Från och med Client Analyzer för MDE Linux version 1.7.0 finns stöd för att köra den Python-baserade klientanalysen i en virtuell Python-miljö (venv). Det är valfritt och krävs inte att använda en virtuell miljö.
Om enheten finns bakom en proxyserver kan du skicka proxyservern som en miljövariabel till skriptet mde_support_tool.sh . Till exempel: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Varning

För att köra den Python-baserade klientanalysen krävs installation av PIP-paket, vilket kan orsaka vissa problem i din miljö. För att undvika problem rekommenderar vi att du installerar paketen i en ANVÄNDAR-PIP-miljö.

Kör Python-versionen för Client Analyzer som levereras med Microsoft Defender för Linux

Obs!

Från och med Versionen 101.25082.0000av Defender för Endpoint levereras klientanalyseraren med en agent. Den finns på följande plats: /opt/microsoft/mdatp/tools/client_analyzer/python

Följ dessa steg för att köra den här klientanalysen:

Gå till katalogen /opt/microsoft/mdatp/tools/client_analyzer/python:
```
cd /opt/microsoft/mdatp/tools/client_analyzer/python
```
Kör med rotprivilegier för att installera nödvändiga beroenden.
```
sudo ./mde_support_tool.sh
```
Om du vill samla in diagnostikpaketet och generera resultatarkivfilen kör du igen med rotprivilegier.
```
sudo ./mde_support_tool.sh -d
```

Ladda ned och kör den fristående Python-versionen av Client Analyzer

Ladda ned verktyget XMDE Client Analyzer på den Linux dator som du behöver undersöka. Om du använder en terminal laddar du ned verktyget genom att ange följande kommando:
```
wget --quiet -O XMDEClientAnalyzerPython.zip "https://go.microsoft.com/fwlink/?linkid=2336046"
```

Kontrollera nedladdningen:

echo '62F92CD9D191063663FBAC7B29E1C967C8F9A30B9B769DA5E968FC4276C1F030 XMDEClientAnalyzerPython.zip' | sha256sum -c

Extrahera innehållet XMDEClientAnalyzer.zip i på datorn:

unzip -q XMDEClientAnalyzerPython.zip -d XMDEClientAnalyzerPython

Ändra katalogen:
```
cd XMDEClientAnalyzerPython
```
Ge verktyget körbar behörighet:
```
chmod a+x mde_support_tool.sh
```
Kör som en icke-användare för att installera nödvändiga beroenden:
```
./mde_support_tool.sh
```
Om du vill samla in diagnostikpaketet och generera resultatarkivfilen kör du igen med rotprivilegier:
```
sudo ./mde_support_tool.sh -d
```

Tips

Titta på den här videon om du vill veta mer om onboarding-problem: Onboarding-problem med Defender för Endpoint-klientanalys

Kommandoradsalternativ

Klientanalysen innehåller följande kommandoradsalternativ:


usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
                      [--force] [--diagnostic] [--skip-mdatp]
                      [--bypass-disclaimer] [--interactive] [--delay DELAY]
                      [--mdatp-log {trace,info,warning,error,debug,verbose}]
                      [--max-log-size MAX_LOG_SIZE]
                      {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
                      ...

MDE Diagnostics Tool

positional arguments:
  {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
    certinfocollection  Collect cert information: Subject name and Hashes
    performance         Collect extensive machine performance tracing for
                        analysis of a performance scenario that can be
                        reproduced on demand
    installation        Collect different installation/onboarding reports
    exclude             Exclude specific processes from audit-d monitoring.
    ratelimit           Set the rate limit for auditd events. Rate limit will
                        update the limits for auditd events for all the
                        applications using auditd, which could impact
                        applications other than MDE.
    skipfaultyrules     Continue loading rules in spite of an error. This
                        summarizes the results of loading the rules. The exit
                        code will not be success if any rule fails to load.
    trace               Use OS tracing facilities to record Defender
                        performance traces.
    observespikes       Collect the process logs in case of spike or mdatp
                        crash
    connectivitytest    Perform connectivity test for MDE

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Diagnostikläge

Diagnostikläge används för att samla in omfattande uppsättning datorinformation, till exempel minne, disk och MDATP-loggar. Den här uppsättningen filer ger den primära uppsättningen information som krävs för att felsöka problem som rör Defender För Endpoint.

Alternativen som stöds är följande:


optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Användningsexempel: sudo ./MDESupportTool -d

Obs!

Funktionen för automatisk reset på loggnivå är endast tillgänglig i agentversion 101.24052.0002 eller senare.

De filer som genereras när du använder det här läget sammanfattas i följande tabell:

Fil	Anmärkningar
`mde_diagnostic.zip`	Loggar och konfigurationer för Defender för Endpoint
`health.txt`	Hälsostatus för Defender för Endpoint (Presentera endast när Defender för Endpoint är installerat)
`health_details_features.txt`	Hälsostatus för andra Defender för Endpoint-funktioner (Presentera endast när Defender för Endpoint är installerat)
`permissions.txt`	Behörighetsproblem med mappar som ägs/används av Defender för Endpoint (Presentera endast när Defender för Endpoint är installerat)
`crashes`	Kraschdumpar som genererats av Defender för Endpoint
`process_information.txt`	Process som körs på datorn när verktyget kördes
`proc_directory_info.txt`	Mappning av det virtuella minnet för Defender för Endpoint-processer (Presentera endast när Defender för Endpoint är installerat)
`auditd_info.txt`	Granskad hälsa, regler, loggar
`auditd_log_analysis.txt`	Sammanfattning av händelser som bearbetats av granskning
`auditd_logs.zip`	Granskade loggfiler
`ebpf_kernel_config.txt`	För närvarande inlästa Linux Kernel-konfiguration
`ebpf_enabled_func.txt`	Lista över alla kernelfunktioner som för närvarande är aktiverade för spårning
`ebpf_syscalls.zip`	Information om systemanropsspårning
`ebpf_raw_syscalls.zip`	Spårningshändelser relaterade till råsystemanrop
`ebpf_maps_info.txt`	EBPF Maps ID och storleksinformation
`syslog.zip`	Filerna under /var/log/syslog
`messages.zip`	Filerna under /var/log/messages
`conflicting_processes_information.txt`	Processer i konflikt med Defender för Endpoint
`exclusions.txt`	Lista över antivirusundantag
`definitions.txt`	Information om antivirusdefinition
`mde_directories.txt`	Lista över filer i Defender för Endpoint-kataloger
`disk_usage.txt`	Information om diskanvändning
`mde_user.txt`	Användarinformation för Defender för Endpoint
`mde_definitions_mount.txt`	Monteringspunkt för Defender för Endpoint-definitioner
`service_status.txt`	Tjänststatus för Defender för Endpoint
`service_file.txt`	Defender för Endpoint Service-fil
`hardware_info.txt`	Maskinvaruinformation
`mount.txt`	Information om monteringspunkt
`uname.txt`	Kernel-information
`memory.txt`	Information om systemminne
`meminfo.txt`	Detaljerad information om systemets minnesanvändning
`cpuinfo.txt`	CPU-information
`lsns_info.txt`	Linux namnområdesinformation
`lsof.txt`	Information om öppna filbeskrivningar i Defender för Endpoint (se anteckningen efter den här tabellen)
`sestatus.txt`	Information om öppna filbeskrivningar i Defender för Endpoint
`lsmod.txt`	Status för moduler i Linux kernel
`dmesg.txt`	Meddelanden från kernelringsbufferten
`kernel_lockdown.txt`	kernel lockdown Info
`rtp_statistics.txt`	Statistik för Defender för Endpoint Real Time Protection (RTP) (Presentera endast när Defender för Endpoint är installerat)
`libc_info.txt`	libc-biblioteksinformation
`uptime_info.txt`	Tid sedan den senaste omstarten
`last_info.txt`	Lista över senast inloggade användare
`locale_info.txt`	Visa aktuell nationella inställningar
`tmp_files_owned_by_mdatp.txt`	/tmp-filer som ägs av gruppen: mdatp (Presentera endast när Defender för Endpoint är installerat)
`mdatp_config.txt`	Alla Defender för Endpoint-konfigurationer (Presentera endast när Defender för Endpoint är installerat)
`mpenginedb.db` `mpenginedb.db-wal` `mpenginedb.db-shm`	Antivirusdefinitionsfil (Presentera endast när Defender för Endpoint är installerat)
`iptables_rules.txt`	Linux iptables-regler
`network_info.txt`	Nätverksinformation
`sysctl_info.txt`	information om kernelinställningar
`hostname_diagnostics.txt`	Diagnostikinformation för värdnamn
`mde_event_statistics.txt`	Händelsestatistik för Defender för Endpoint (Presentera endast när Defender för Endpoint är installerat)
`mde_ebpf_statistics.txt`	Defender för Endpoint eBPF-statistik (Presentera endast när Defender för Endpoint är installerat)
`kernel_logs.zip`	Kernelloggar
`mdc_log.zip`	Microsoft Defender för molnloggar
`netext_config.txt`
`threat_list.txt`	Lista över hot som identifierats av Defender för Endpoint (Presentera endast när Defender för Endpoint är installerat)
`top_output.txt`	Process som körs på datorn när verktyget kördes
`top_summary.txt`	Analys av minnes- och CPU-användning av processen som körs

Valfria argument för Client Analyzer

Client Analyzer innehåller följande valfria argument för extra datainsamling:

Samla in prestandainformation

Samla in omfattande spårning av datorprestanda för Defender för Endpoint-processer för analys av ett prestandascenario som kan återskapas på begäran.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Användningsexempel: sudo ./MDESupportTool performance --frequency 500

Det här läget genererar följande fil:

Fil	Anmärkningar
`perf_benchmark.tar.gz`	Defender för Endpoint bearbetar prestandadata

Obs!

Filerna som motsvarar diagnostikläget genereras också.

Tjäran innehåller filer i formatet <pid of a MDE process>.data. Datafilen kan läsas med kommandot :

perf report -i <pid>.data

Köra anslutningstest

Det här läget testar om de molnresurser som krävs av Defender för Endpoint kan nås eller inte.


  -h, --help            show this help message and exit
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                        Path to onboarding script
  -g GEO, --geo GEO     Geo string to test <US|UK|EU|AU|CH|IN>

Användningsexempel:

sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`

Utdata som skrivs ut på skärmen visar om URL:erna kan nås eller inte.

Samla in olika installations-/registreringsrapporter

Det här läget samlar in installationsrelaterad information som distribution och systemkrav.


  -h, --help                show this help message and exit
  -d, --distro              Check for distro support
  -m, --min-requirement     Check for the system info against offical minimum requirements
  -e, --external-dep        Check for externel package dependency
  -c, --connectivity        Check for connectivity for services used by MDE
  -a, --all                 Run all checks
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                            Path to onboarding script
  -g GEO, --geo GEO         Geo string to test <US|UK|EU|AU|CH|IN>

Användningsexempel:

sudo ./MDESupportTool installation --all

En enda rapport installation_report.json genereras. Nycklarna i filen är följande:

Tangent	Anmärkningar
agent_version	Version av Defender för Endpoint installerad.
onboarding_status	Registrerings- och ringinformationen
support_status	MDE stöds med de aktuella systemkonfigurationerna.
Distributioner	Distributionen som agenten är installerad på stöds eller inte.
connectivitytest	Status för anslutningstester.
min_requirement	Minimikraven för CPU och minne uppfylls.
external_depedency	De externa beroendena är uppfyllda eller inte.
mde_health	Hälsostatus för MDE Agent
folder_perm	De nödvändiga mappbehörigheterna uppfylls eller inte.

Exkludera läge

Det här läget lägger till undantag för audit-d övervakning.


  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Användningsexempel:

sudo ./MDESupportTool exclude -d /var/foo/bar`

AuditD-hastighetsbegränsning

Det här alternativet anger hastighetsbegränsningen globalt för AuditD, vilket orsakar en minskning av alla granskningshändelser. När begränsningen är aktiverad begränsas de granskade händelserna till 2 500 händelser per sekund. Det här alternativet kan användas i fall där vi ser hög CPU-användning från AuditD-sidan.


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Användningsexempel:

sudo ./mde_support_tool.sh ratelimit -e true

Obs!

Den här funktionen bör användas noggrant eftersom den begränsar antalet händelser som de granskade undersystemrapporterna som helhet. Detta kan också minska antalet händelser för andra prenumeranter.

AuditD hoppar över felaktiga regler

Med det här alternativet kan du hoppa över de felaktiga regler som lagts till i den granskade regelfilen när du läser in dem. Det gör att det granskade undersystemet kan fortsätta läsa in regler även om det finns en felaktig regel.


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Användningsexempel:

sudo ./mde_support_tool.sh skipfaultyrules -e true

Obs!

Den här funktionen hoppar över de felaktiga reglerna. Felaktiga regler måste identifieras och åtgärdas ytterligare.

Använda livesvar i Defender för Endpoint för att samla in supportloggar

XMDE-klientanalyseraren kan köras under en livesvarssession antingen med hjälp av den version som redan ingår i Microsoft Defender för Endpoint på Linux, eller genom att ladda ned Client Analyzer som ett binärt paket eller Python-paket och extrahera det på enheten.

För installation krävs paketet unzip .
För körning acl krävs paketet.

Viktigt

Windows använder vagnretur och radmatning osynliga tecken för att representera slutet av en rad och början av en ny rad i en fil. Linux system använder endast det osynliga tecknet radmatning i slutet av filraderna. Om du använder följande skript, om det görs i Windows, kan den här skillnaden resultera i fel och fel i skripten som ska köras. En möjlig lösning på detta är att använda Windows-undersystem för Linux (WSL) och dos2unix paketet för att formatera om skriptet så att det överensstämmer med unix- och Linux formatstandarden.

Kör Client Analyzer från installationen av Microsoft Defender för Endpoint

Om Microsoft Defender för Endpoint redan är installerat på enheten kan du köra Client Analyzer direkt från agentinstallationen utan att ladda ned eller installera ytterligare paket.

Skapa en MDESupportToolBinary.sh fil och klistra in följande innehåll i den.

#! /usr/bin/bash

echo "cd /opt/microsoft/mdatp/tools/client_analyzer/binary"
cd /opt/microsoft/mdatp/tools/client_analyzer/binary

echo "Running MDESupportTool"
./MDESupportTool $@

Execute:
run MDESupportToolBinary.sh -parameters "--bypass-disclaimer -d"


MDESupportToolPython.sh

#! /usr/bin/bash

echo "cd /opt/microsoft/mdatp/tools/client_analyzer/python"
cd /opt/microsoft/mdatp/tools/client_analyzer/python

echo "Running MDESupportTool"
./mde_support_tool.sh $@

Execute:
run MDESupportToolPython.sh -parameters "--bypass-disclaimer -d"

Installera XMDE-klientanalysen

Ladda ned och extrahera XMDE Client Analyzer. Du kan använda antingen binärversionen eller Python-versionen på följande sätt:

På grund av de begränsade kommandon som är tillgängliga i livesvaret måste detaljerade steg köras i ett bash-skript. Genom att dela upp installations- och körningsdelen av dessa kommandon kan du köra installationsskriptet en gång och köra körningsskriptet flera gånger.

Viktigt

Exempelskripten förutsätter att datorn har direkt Internetåtkomst och kan hämta XMDE Client Analyzer från Microsoft. Om datorn inte har direkt Internetåtkomst måste installationsskripten uppdateras för att hämta XMDE-klientanalysen från en plats som datorerna kan komma åt.

Installationsskript för analys av binär klient

Följande skript utför de första sex stegen i köra den binära versionen av client analyzer. När det är klart är binärfilen XMDE Client Analyzer tillgänglig från /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer katalogen.

Skapa en bash-fil InstallXMDEClientAnalyzer.sh och klistra in följande innehåll i den.

#! /usr/bin/bash 

echo "Starting Client Analyzer Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzerBinary"
wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
echo 'C65A4E4C6851D130942BFACD147A9D18B8A92B4F50FACF519477FD1C41A1C323 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c

echo "Unzipping XMDEClientAnalyzerBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary

echo "Unzipping SupportToolLinuxBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary/XMDEClientAnalyzer/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"

Installationsskript för Python-klientanalys

Följande skript utför de första sex stegen i Köra Python-versionen av Client Analyzer. När det är klart är Python-skripten för XMDE Client Analyzer tillgängliga från /tmp/XMDEClientAnalyzer katalogen.

Skapa en bash-fil InstallXMDEClientAnalyzer.sh och klistra in följande innehåll i den.

#! /usr/bin/bash

echo "Starting Client Analyzer Install Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzer.zip"
wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c  

echo "Unzipping XMDEClientAnalyzer.zip"
unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  

echo "Setting execute permissions on mde_support_tool.sh script"
cd /tmp/XMDEClientAnalyzer 
chmod a+x mde_support_tool.sh  

echo "Performing final support tool setup"
./mde_support_tool.sh

Tips

Titta på den här videon om du vill veta mer om slutpunktsinställningar: Slutpunktsinställningar för Defender för Endpoint-klientanalys

Kör installationsskript för klientanalys

Starta en livesvarssession på den dator som du vill undersöka.
Välj Ladda upp fil till bibliotek.
Välj Välj fil.
Välj den nedladdade filen med namnet InstallXMDEClientAnalyzer.shoch välj sedan Bekräfta.
När du fortfarande är i LiveResponse-sessionen använder du följande kommandon för att installera analysatorn:
```
run InstallXMDEClientAnalyzer.sh
```

Kör XMDE-klientanalysen

Livesvaret stöder inte direkt körning av XMDE-klientanalys eller Python, så det krävs ett körningsskript.

Viktigt

Följande skript förutsätter att XMDE Client Analyzer installerades på samma platser från skripten som nämndes tidigare. Om din organisation väljer att installera skripten på en annan plats måste skripten uppdateras så att de överensstämmer med organisationens valda installationsplats.

Skript för att köra den binära klientanalysen

Den binära versionen av klientanalysen accepterar kommandoradsparametrar för att utföra olika analystester. För att tillhandahålla liknande funktioner under livesvaret drar körningsskriptet nytta av $@ bash-variabeln för att skicka alla indataparametrar som tillhandahålls till skriptet till XMDE Client Analyzer.

Skapa en bash-fil MDESupportTool.sh och klistra in följande innehåll i den.

#! /usr/bin/bash

echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "Running MDESupportTool"
./MDESupportTool $@

Skript för att köra Python-klientanalys

Python-versionen av klientanalysen accepterar kommandoradsparametrar för att utföra olika analystester. För att tillhandahålla liknande funktioner under livesvaret drar körningsskriptet nytta av $@ bash-variabeln för att skicka alla indataparametrar som tillhandahålls till skriptet till XMDE Client Analyzer.

Skapa en bash-fil MDESupportTool.sh och klistra in följande innehåll i den.

#! /usr/bin/bash  

echo "cd /tmp/XMDEClientAnalyzer"
cd /tmp/XMDEClientAnalyzer 

echo "Running mde_support_tool"
./mde_support_tool.sh $@

Kör skriptet för klientanalys

Obs!

Om du har en aktiv live-svarssession kan du hoppa över steg 1.

Starta en livesvarssession på den dator som du vill undersöka.
Välj Ladda upp fil till bibliotek.
Välj Välj fil.
Välj den nedladdade filen med namnet MDESupportTool.shoch välj sedan Bekräfta.
Medan du fortfarande är i live-svarssessionen använder du följande kommandon för att köra analysatorn och samla in den resulterande filen:
```
run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
GetFile "/tmp/your_archive_file_name_here.zip"
```

Kör klientanalysen på Linux

Kör den binära versionen av klientanalysen

Kör binärfilen Client Analyzer som levereras med Microsoft Defender för Linux:

Ladda ned och kör det fristående binära verktyget Client Analyzer

Kör den Python-baserade klientanalysen

Kör Python-versionen för Client Analyzer som levereras med Microsoft Defender för Linux

Ladda ned och kör den fristående Python-versionen av Client Analyzer

Kommandoradsalternativ

Diagnostikläge

Valfria argument för Client Analyzer

Samla in prestandainformation

Köra anslutningstest

Samla in olika installations-/registreringsrapporter

Exkludera läge

AuditD-hastighetsbegränsning

AuditD hoppar över felaktiga regler

Använda livesvar i Defender för Endpoint för att samla in supportloggar

Kör Client Analyzer från installationen av Microsoft Defender för Endpoint

Installera XMDE-klientanalysen

Installationsskript för analys av binär klient

Installationsskript för Python-klientanalys

Kör installationsskript för klientanalys

Kör XMDE-klientanalysen

Skript för att köra den binära klientanalysen

Skript för att köra Python-klientanalys

Kör skriptet för klientanalys

Se även

Felsökningsdokument för Defender för Endpoint på Linux

Feedback

Ytterligare resurser