共用方式為

在 Linux 上執行用戶端分析器

  • 適用於: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

如果您在 Linux 上適用於端點的 Microsoft Defender 有問題,而且需要支援,系統可能會要求您提供用戶端分析器工具的輸出。 它是一種診斷工具,可幫助系統管理員和支持團隊針對適用於端點的 Microsoft Defender 的問題進行故障排除,適用於端點的 Microsoft Defender。 它收集有關安裝、配置、服務健康情況、日誌、連接狀態等的詳細信息。該工具主要用於檢查系統運作狀況、驗證配置以及幫助解決潛在問題。

本文說明如何在裝置上使用該工具或即時回應。 您可以使用 Python 型解決方案或不需要 Python 的二進位版本。

提示

觀看此影片以取得用戶端分析器的概觀: 適用於端點的 Defender 用戶端分析器概觀

執行用戶端分析器的二進位版本

用戶端分析器的二進位版本有兩種方式提供:

  • 隨附於適用於 Linux 的 Microsoft Defender
  • 作為獨立工具提供

執行適用於 Linux 的 Microsoft Defender 隨附的用戶端分析器二進位檔:

注意事項

從適用於端點的 Defender 版本 101.25082.0000開始,用戶端分析器隨附代理程式。 它可以在以下位置找到: /opt/microsoft/mdatp/tools/client_analyzer/binary

若要執行此用戶端分析器,請遵循下列步驟:

  1. 前往目錄 /opt/microsoft/mdatp/tools/client_analyzer/binary

    cd /opt/microsoft/mdatp/tools/client_analyzer/binary

  2. root 身分執行工具以產生診斷套件:

    sudo ./MDESupportTool -d

下載並執行 Client Analyzer 獨立二進位工具

請遵循下列步驟,使用獨立的 ClientAnalyzer 二進位檔

  1. XMDE 用戶端分析器二進位工具 下載到您需要調查的 Linux 電腦。 如果您使用的是終端機,請輸入以下命令下載該工具:

    wget --quiet -O XMDEClientAnalyzerBinary.zip "https://go.microsoft.com/fwlink/?linkid=2336125"

  2. 驗證下載:

    echo '042692269A7208AB30B4355A6FC1CD0A25FE59356D96CCD2E7F1F61DF9B4B85D XMDEClientAnalyzerBinary.zip' | sha256sum -c

  3. 提取本機上的內容 XMDEClientAnalyzerBinary.zip

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  4. 變更目錄:

    cd XMDEClientAnalyzerBinary

  5. 會產生兩個新的 zip 檔案:

    • SupportToolLinuxamd64Binary.zip:對於 x86 Linux 設備
    • SupportToolLinuxarm64Binary.zip:適用於 ARM Linux 裝置

  6. 根據您的 Linux 操作系統架構解壓縮特定的 zip。 例如,我們在這裡使用文件 SupportToolLinuxamd64Binary.zip

    unzip -q SupportToolLinuxamd64Binary.zip

  7. root 身分執行工具以產生診斷套件:

    sudo ./MDESupportTool -d

執行 Python 型用戶端分析器

用戶端分析器的 python 版本有兩種方式提供:

  • 隨附於適用於 Linux 的 Microsoft Defender
  • 作為獨立工具提供

注意事項

  • 分析器相依於一些額外的 PIP 套件, (decoratorshdistrolxml和) psutil ,這些套件在 root 中安裝在作業系統中,以產生結果輸出。 如果未安裝,分析器會嘗試從 Python 套件的官方儲存庫擷取它。
  • 此外,該工具目前需要在您的裝置上安裝 Python 版本 3 或更高版本。
  • 如果您的裝置位於 Proxy 後方,則您可以將 Proxy 伺服器作為環境變數傳遞至 mde_support_tool.sh 指令碼。 例如:https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

警告

執行 Python 型用戶端分析器需要安裝 PIP 套件,這可能會導致您的環境中出現一些問題。 若要避免發生問題,建議您將套件安裝到使用者 PIP 環境中。

執行適用於 Linux 的 Microsoft Defender 隨附的用戶端分析器 Python 版本

注意事項

從適用於端點的 Defender 版本 101.25082.0000開始,用戶端分析器隨附代理程式。 它可以在以下位置找到: /opt/microsoft/mdatp/tools/client_analyzer/python

若要執行此用戶端分析器,請遵循下列步驟:

  1. 前往目錄 /opt/microsoft/mdatp/tools/client_analyzer/python

    cd /opt/microsoft/mdatp/tools/client_analyzer/python

  2. 以 root 使用者身分執行,以安裝必要的相依性。

    sudo ./mde_support_tool.sh

  3. 若要收集診斷套件並產生結果封存檔,請以 root 身分再次執行。

    sudo ./mde_support_tool.sh -d

下載並執行 Client Analyzer 獨立 python 版本

  1. 在您需要調查的 Linux 電腦上下載 XMDE 用戶端分析器 工具。 如果您使用的是終端機,請輸入以下命令下載該工具:

    wget --quiet -O XMDEClientAnalyzerPython.zip "https://go.microsoft.com/fwlink/?linkid=2336046"

  2. 驗證下載:

    echo '9F29043CD3034DD4DF30B0EA25B37B5EE7BE5D81D5848CF047F9842B76C831EA XMDEClientAnalyzerPython.zip' | sha256sum -c

  3. 在機器上提取內容 XMDEClientAnalyzer.zip

    unzip -q XMDEClientAnalyzerPython.zip -d XMDEClientAnalyzerPython

  4. 變更目錄:

    cd XMDEClientAnalyzerPython

  5. 授予工具可執行檔權限:

    chmod a+x mde_support_tool.sh

  6. 以非 root 使用者身分執行,以安裝必要的相依性:

    ./mde_support_tool.sh

  7. 若要收集診斷套件並產生結果封存檔案,請以 root 身分再次執行:

    sudo ./mde_support_tool.sh -d

提示

觀看此影片以深入瞭解上線問題: 適用於端點的 Defender 用戶端分析器上線問題

命令列選項

以下是用戶端分析器提供的命令列選項:


usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
                      [--force] [--diagnostic] [--skip-mdatp]
                      [--bypass-disclaimer] [--interactive] [--delay DELAY]
                      [--mdatp-log {trace,info,warning,error,debug,verbose}]
                      [--max-log-size MAX_LOG_SIZE]
                      {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
                      ...

MDE Diagnostics Tool

positional arguments:
  {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
    certinfocollection  Collect cert information: Subject name and Hashes
    performance         Collect extensive machine performance tracing for
                        analysis of a performance scenario that can be
                        reproduced on demand
    installation        Collect different installation/onboarding reports
    exclude             Exclude specific processes from audit-d monitoring.
    ratelimit           Set the rate limit for auditd events. Rate limit will
                        update the limits for auditd events for all the
                        applications using auditd, which could impact
                        applications other than MDE.
    skipfaultyrules     Continue loading rules in spite of an error. This
                        summarizes the results of loading the rules. The exit
                        code will not be success if any rule fails to load.
    trace               Use OS tracing facilities to record Defender
                        performance traces.
    observespikes       Collect the process logs in case of spike or mdatp
                        crash
    connectivitytest    Perform connectivity test for MDE

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

診斷模式

診斷模式可用來收集一組廣泛的機器資訊,例如記憶體、磁碟和 MDATP 記錄。 這組檔案提供偵錯與適用於端點的 Defender 相關的任何問題所需的主要資訊集。

支援的選項如下:


optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

使用範例: sudo ./MDESupportTool -d

注意事項

日誌層級自動重設功能僅適用於代理程式版本 101.24052.0002 或更高版本。

下表摘要說明使用此模式時產生的檔案:

檔案 註解
mde_diagnostic.zip 適用於端點的 Defender 記錄和設定
health.txt 適用於端點的 Defender 健康情況狀態
(只有在安裝適用於端點的 Defender 時才會出現)
health_details_features.txt 其他適用於端點的 Defender 功能健康情況狀態
(只有在安裝適用於端點的 Defender 時才會出現)
permissions.txt 適用於端點的 Defender 所擁有/使用的資料夾的許可權問題
(只有在安裝適用於端點的 Defender 時才會出現)
crashes 適用於端點的 Defender 所產生的損毀傾印
process_information.txt 工具執行時在機器中執行的處理程序
proc_directory_info.txt 適用於端點的 Defender 進程虛擬記憶體對應
(只有在安裝適用於端點的 Defender 時才會出現)
auditd_info.txt 稽核的健康情況、規則、記錄
auditd_log_analysis.txt auditd 所處理的事件摘要
auditd_logs.zip 稽核記錄檔
ebpf_kernel_config.txt 目前載入的 Linux 核心設定
ebpf_enabled_func.txt 目前啟用追蹤的所有核心函數清單
ebpf_syscalls.zip 系統呼叫追蹤的相關資訊
ebpf_raw_syscalls.zip 追蹤與原始系統呼叫相關的事件
ebpf_maps_info.txt eBPF 地圖的 ID 和大小資訊
syslog.zip /var/log/syslog 下的檔案
messages.zip /var/log/messages 下的檔案
conflicting_processes_information.txt 適用於端點的 Defender 衝突程式
exclusions.txt 防毒排除清單
definitions.txt 防毒定義資訊
mde_directories.txt 適用於端點的 Defender 目錄中的檔案清單
disk_usage.txt 磁碟使用量詳細資料
mde_user.txt 適用於端點的 Defender 使用者資訊
mde_definitions_mount.txt 適用於端點的 Defender 定義掛接點
service_status.txt 適用於端點的 Defender 服務狀態
service_file.txt 適用於端點的 Defender 服務檔案
hardware_info.txt 硬體資訊
mount.txt 掛接點資訊
uname.txt 核心資訊
memory.txt 系統記憶體資訊
meminfo.txt 有關系統記憶體使用情況的詳細資訊
cpuinfo.txt CPU 資訊
lsns_info.txt Linux 命名空間資訊
lsof.txt 適用於端點的 Defender 開啟檔案描述元資訊
(請參閱此表後面的註釋)
sestatus.txt 適用於端點的 Defender 開啟檔案描述元資訊
lsmod.txt Linux核心中模組的狀態
dmesg.txt 來自核心環緩衝區的訊息
kernel_lockdown.txt 核心鎖定資訊
rtp_statistics.txt 適用於端點的 Defender 即時保護 (RTP) 統計資料
(只有在安裝適用於端點的 Defender 時才會出現)
libc_info.txt libc 圖書館資訊
uptime_info.txt 自上次重新啟動以來的時間
last_info.txt 上次登入的使用者清單
locale_info.txt 顯示目前的地區設定
tmp_files_owned_by_mdatp.txt /tmp 群組所擁有的檔案:MDATP
(只有在安裝適用於端點的 Defender 時才會出現)
mdatp_config.txt 所有適用於端點的 Defender 設定
(只有在安裝適用於端點的 Defender 時才會出現)
mpenginedb.db
mpenginedb.db-wal
mpenginedb.db-shm		 防毒定義檔案
(只有在安裝適用於端點的 Defender 時才會出現)
iptables_rules.txt Linux iptables 規則
network_info.txt 網路資訊
sysctl_info.txt 核心設定資訊
hostname_diagnostics.txt 主機名稱診斷資訊
mde_event_statistics.txt 適用於端點的 Defender 事件統計資料
(只有在安裝適用於端點的 Defender 時才會出現)
mde_ebpf_statistics.txt 適用於端點的 Defender eBPF 統計資料
(只有在安裝適用於端點的 Defender 時才會出現)
kernel_logs.zip 核心日誌
mdc_log.zip 適用於雲端的 Microsoft Defender 記錄
netext_config.txt
threat_list.txt 適用於端點的 Defender 偵測到的威脅清單
(只有在安裝適用於端點的 Defender 時才會出現)
top_output.txt 工具執行時在機器中執行的處理程序
top_summary.txt 執行中處理程序的記憶體和 CPU 使用量分析

用戶端分析器的選用引數

用戶端分析器提供下列選擇性引數,以收集額外的資料:

收集成效資訊

收集適用於端點的 Defender 進程的廣泛機器效能追蹤,以分析可視需要重現的效能案例。

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

使用範例: sudo ./MDESupportTool performance --frequency 500

以下是使用此模式時產生的檔案:

檔案 註解
perf_benchmark.tar.gz 適用於端點的 Defender 會處理效能資料

注意事項

還生成與診斷模式相對應的檔案。

tar 包含格式為 <pid of a MDE process>.data. 可以使用以下命令讀取資料檔案:

perf report -i <pid>.data

執行連線測試

此模式會測試適用於端點的 Defender 所需的雲端資源是否可連線。


  -h, --help            show this help message and exit
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                        Path to onboarding script
  -g GEO, --geo GEO     Geo string to test <US|UK|EU|AU|CH|IN>

使用範例:

sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`

列印在螢幕上的輸出顯示 URL 是否可連線。

收集不同的安裝/上線報告

此模式收集安裝相關信息,例如發行版和系統要求。


  -h, --help                show this help message and exit
  -d, --distro              Check for distro support
  -m, --min-requirement     Check for the system info against offical minimum requirements
  -e, --external-dep        Check for externel package dependency
  -c, --connectivity        Check for connectivity for services used by MDE
  -a, --all                 Run all checks
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                            Path to onboarding script
  -g GEO, --geo GEO         Geo string to test <US|UK|EU|AU|CH|IN>

使用範例:

sudo ./MDESupportTool installation --all

會產生單一報告 installation_report.json 。 檔案中的索引鍵如下:

機碼 註解
agent_version 已安裝適用於端點的 Defender 版本。
onboarding_status 上線和響鈴資訊
support_status 目前的系統配置支援 MDE。
發行版 是否支援安裝代理程式的發行版。
連接測試 連線測試狀態。
min_requirement 符合 CPU 和記憶體的最低需求。
external_depedency 外部相依性是否滿足。
mde_health MDE 代理程式的健康狀態
folder_perm 是否符合所需的資料夾權限。

排除模式

此模式會新增監視的 audit-d 排除項目。


  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

使用範例:

sudo ./MDESupportTool exclude -d /var/foo/bar`

AuditD 速率限制器

此選項會全域設定 AuditD 的速率限制,導致所有稽核事件都下降。 啟用限制器時,稽核事件限制為每秒 2500 個事件。此選項可用於我們從 AuditD 端看到高 CPU 使用率的情況。


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

使用範例:

sudo ./mde_support_tool.sh ratelimit -e true

注意事項

應謹慎使用此功能,因為它會限制審核子系統整體報告的事件數目。 這也可以減少其他訂閱者的事件數量。

AuditD 略過錯誤規則

此選項可讓您在載入錯誤規則時略過已稽核規則檔案中新增的錯誤規則。 它允許稽核子系統繼續載入規則,即使有錯誤的規則也一樣。


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

使用範例:

sudo ./mde_support_tool.sh skipfaultyrules -e true

注意事項

此功能會略過錯誤的規則。 必須進一步識別和修復錯誤的規則。

使用適用於端點的 Defender 中的即時回應來收集支援記錄

XMDE 用戶端分析器工具可以下載為 二進位或Python 套件,可在 Linux 機器上解壓縮和執行。 XMDE 用戶端分析器的兩個版本都可以在即時回應會話期間執行。

  • 安裝時,需要該 unzip 套件。
  • 若要執行, acl 需要套件。

重要事項

Window 使用回車符和換行不可見字元來表示檔案中一行的結尾和新行的開頭,但 Linux 系統僅在其檔案行的末尾使用換行不可見字元。 當您使用下列指令碼時,如果在 Windows 上完成,此差異可能會導致指令碼執行錯誤和失敗。 一個潛在的解決方案是利用 Windows 子系統 Linux 版和套件dos2unix重新格式化腳本,使其符合 Unix 和 Linux 格式標準。

安裝 XMDE 用戶端分析器

下載並解壓縮 XMDE 用戶端分析器。 您可以使用二進位或 Python 版本,如下所示:

由於即時回應中可用的命令有限,因此必須在 bash 指令碼中執行詳細的步驟。 藉由分割這些命令的安裝和執行部分,可以執行安裝腳本一次,並多次執行執行腳本。

重要事項

範例腳本假設機器可以直接存取因特網,而且可以從 Microsoft 擷取 XMDE 用戶端分析器。 如果計算機無法直接存取因特網,則必須更新安裝腳本,才能從計算機可以成功存取的位置擷取 XMDE 用戶端分析器。

二進位用戶端分析器安裝指令碼

下列指令碼會執行 執行用戶端分析器的二進位版本的前六個步驟。 完成時,可從目錄取得 /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer XMDE 用戶端分析器二進位檔。

  1. 建立一個 bash 檔案 InstallXMDEClientAnalyzer.sh 並將以下內容貼到其中。

    #! /usr/bin/bash 

echo "Starting Client Analyzer Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzerBinary"
wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
echo 'C65A4E4C6851D130942BFACD147A9D18B8A92B4F50FACF519477FD1C41A1C323 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c

echo "Unzipping XMDEClientAnalyzerBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary

echo "Unzipping SupportToolLinuxBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary/XMDEClientAnalyzer/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"

Python 用戶端分析器安裝指令碼

下列指令碼會執行 執行用戶端分析器的 Python 版本的前六個步驟。 完成時,XMDE 用戶端分析器 Python 指令碼可從目錄取得 /tmp/XMDEClientAnalyzer

  1. 建立一個 bash 檔案 InstallXMDEClientAnalyzer.sh 並將以下內容貼到其中。

    #! /usr/bin/bash

echo "Starting Client Analyzer Install Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzer.zip"
wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c  

echo "Unzipping XMDEClientAnalyzer.zip"
unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  

echo "Setting execute permissions on mde_support_tool.sh script"
cd /tmp/XMDEClientAnalyzer 
chmod a+x mde_support_tool.sh  

echo "Performing final support tool setup"
./mde_support_tool.sh

提示

觀看此影片以深入瞭解端點設定: 適用於端點的 Defender 用戶端分析器端點設定

執行用戶端分析器安裝指令碼

  1. 在您要調查的電腦上起始 即時回應工作階段

  2. 選取 [將檔案上傳至文件庫]。

  3. 選取 [ 選擇檔案]。

  4. 選取名為 InstallXMDEClientAnalyzer.sh的下載檔案,然後選取 [確認]。

  5. 仍在 LiveResponse 工作階段中時,請使用下列命令來安裝分析器:

    run InstallXMDEClientAnalyzer.sh

執行 XMDE 用戶端分析器

即時回應不支援直接執行 XMDE 用戶端分析器或 Python,因此需要執行腳本。

重要事項

下列腳本假設 XMDE 用戶端分析器是使用先前所述腳本中的相同位置來安裝。 如果您的組織選擇將指令碼安裝到不同的位置,則必須更新指令碼以符合您組織選擇的安裝位置。

執行二進位用戶端分析器的指令碼

用戶端分析器的二進位版本接受命令列參數來執行不同的分析測試。 為了在即時回應期間提供類似的功能,執行指令碼會利用 $@ bash 變數,將提供給指令碼的所有輸入參數傳遞至 XMDE 用戶端分析器。

  1. 建立一個 bash 檔案 MDESupportTool.sh 並將以下內容貼到其中。

    #! /usr/bin/bash

echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "Running MDESupportTool"
./MDESupportTool $@

執行 Python 用戶端分析器的腳本

Python 版本的用戶端分析器接受命令列參數來執行不同的分析測試。 為了在即時回應期間提供類似的功能,執行指令碼會利用 $@ bash 變數,將提供給指令碼的所有輸入參數傳遞至 XMDE 用戶端分析器。

  1. 建立一個 bash 檔案 MDESupportTool.sh 並將以下內容貼到其中。

    #! /usr/bin/bash  

echo "cd /tmp/XMDEClientAnalyzer"
cd /tmp/XMDEClientAnalyzer 

echo "Running mde_support_tool"
./mde_support_tool.sh $@

執行用戶端分析器指令碼

注意事項

如果您有作用中的即時回應工作階段,您可以略過步驟 1。

  1. 在您要調查的電腦上起始 即時回應工作階段

  2. 選取 [將檔案上傳至文件庫]。

  3. 選取 [ 選擇檔案]。

  4. 選取名為 MDESupportTool.sh的下載檔案,然後選取 [確認]。

  5. 仍在即時回應會話中時,請使用下列命令來執行分析器並收集產生的檔案:

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
GetFile "/tmp/your_archive_file_name_here.zip"

另請參閱

適用於端點的 Defender on Linux 疑難排解檔

提示

想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區

  • Last updated on