تشغيل محلل العميل على Linux

ينطبق على:

• Microsoft Defender لنقطة النهاية للخوادم
• Microsoft Defender للخوادم الخطة 1 أو الخطة 2

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

إذا كانت لديك مشكلات في Microsoft Defender لنقطة النهاية على Linux وتحتاج إلى دعم، فقد يطلب منك توفير الإخراج من أداة محلل العميل. تشرح هذه المقالة كيفية استخدام الأداة على جهازك أو مع الاستجابة المباشرة. يمكنك استخدام حل يستند إلى Python أو إصدار ثنائي لا يحتاج إلى Python.

تشغيل الإصدار الثنائي من محلل العميل

1. قم بتنزيل أداة XMDE Client Analyzer Binary إلى جهاز Linux الذي تريد التحقيق فيه. إذا كنت تستخدم محطة طرفية، فقم بتنزيل الأداة عن طريق إدخال الأمر التالي:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   

2. تحقق من التنزيل.

   echo 'B5EBD9AB36F2DB92C341ABEBB20A50551D08D769CB061EAFCC1A931EFACE305D XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

3. استخراج محتويات XMDEClientAnalyzerBinary.zip على الجهاز.

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. تغيير الدليل:

   cd XMDEClientAnalyzerBinary
   

5. يتم إنتاج ملفين مضغوطين جديدين:

   • SupportToolLinuxBinary.zip: لجميع أجهزة Linux
   • SupportToolMacOSBinary.zip: لأجهزة Mac

6. فك ضغط SupportToolLinuxBinary.zip الملف.

   unzip -q SupportToolLinuxBinary.zip
   

7. قم بتشغيل الأداة كجذر لإنشاء حزمة تشخيصية:

   sudo ./MDESupportTool -d
   

تشغيل محلل العميل المستند إلى Python

1. قم بتنزيل أداة محلل عميل XMDE على جهاز Linux الذي تحتاج إلى التحقيق فيه. إذا كنت تستخدم محطة طرفية، فقم بتنزيل الأداة عن طريق إدخال الأمر التالي:

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. تحقق من التنزيل.

   echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 XMDEClientAnalyzer.zip' | sha256sum -c
   

3. استخراج محتويات XMDEClientAnalyzer.zip على الجهاز.

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. تغيير الدليل.

   cd XMDEClientAnalyzer
   

5. امنح الأداة إذنا قابلا للتنفيذ.

   chmod a+x mde_support_tool.sh
   

6. قم بتشغيل كمستخدم غير مستخدم لتثبيت التبعيات المطلوبة.

   ./mde_support_tool.sh
   

7. لجمع حزمة التشخيص وإنشاء ملف أرشيف النتائج، قم بتشغيل مرة أخرى كجذر.

   sudo ./mde_support_tool.sh -d
   

خيارات سطر الأوامر

فيما يلي خيارات سطر الأوامر التي يوفرها محلل العميل

usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
                      [--force] [--diagnostic] [--skip-mdatp]
                      [--bypass-disclaimer] [--interactive] [--delay DELAY]
                      [--mdatp-log {trace,info,warning,error,debug,verbose}]
                      [--max-log-size MAX_LOG_SIZE]
                      {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
                      ...

MDE Diagnostics Tool

positional arguments:
  {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
    certinfocollection  Collect cert information: Subject name and Hashes
    performance         Collect extensive machine performance tracing for
                        analysis of a performance scenario that can be
                        reproduced on demand
    installation        Collect different installation/onboarding reports
    exclude             Exclude specific processes from audit-d monitoring.
    ratelimit           Set the rate limit for auditd events. Rate limit will
                        update the limits for auditd events for all the
                        applications using auditd, which could impact
                        applications other than MDE.
    skipfaultyrules     Continue loading rules in spite of an error. This
                        summarizes the results of loading the rules. The exit
                        code will not be success if any rule fails to load.
    trace               Use OS tracing facilities to record Defender
                        performance traces.
    observespikes       Collect the process logs in case of spike or mdatp
                        crash
    connectivitytest    Perform connectivity test for MDE

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

وضع التشخيص

يتم استخدام وضع التشخيص لجمع مجموعة واسعة من معلومات الجهاز، مثل الذاكرة والقرص وسجلات MDATP. توفر هذه المجموعة من الملفات المجموعة الأساسية من المعلومات المطلوبة لتصحيح أي مشكلة تتعلق ب Defender For Endpoint.

الخيارات المدعومة هي كما يلي:

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

مثال الاستخدام: sudo ./MDESupportTool -d

يتم تلخيص الملفات التي تم إنشاؤها عند استخدام هذا الوضع في الجدول التالي:

الوسيطات الاختيارية لمحلل العميل

يوفر Client Analyzer الوسيطات الاختيارية التالية لجمع البيانات الإضافية:

جمع معلومات الأداء

جمع تتبع أداء الجهاز الشامل لعمليات Defender لنقطة النهاية لتحليل سيناريو الأداء الذي يمكن إعادة إنتاجه عند الطلب.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

مثال الاستخدام: sudo ./MDESupportTool performance --frequency 500

فيما يلي الملف الذي تم إنشاؤه عند استخدام هذا الوضع:

يحتوي tar على ملفات بالتنسيق <pid of a MDE process>.data. يمكن قراءة ملف البيانات باستخدام الأمر :

perf report -i <pid>.data

تشغيل اختبار الاتصال

يختبر هذا الوضع ما إذا كانت موارد السحابة التي يحتاجها Defender لنقطة النهاية قابلة للوصول أم لا.

  -h, --help            show this help message and exit
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                        Path to onboarding script
  -g GEO, --geo GEO     Geo string to test <US|UK|EU|AU|CH|IN>

مثال الاستخدام:

sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`

يظهر الإخراج المطبوع على الشاشة ما إذا كانت عناوين URL قابلة للوصول أم لا.

جمع تقارير تثبيت/إلحاق مختلفة

يجمع هذا الوضع المعلومات المتعلقة بالتثبيت مثل التوزيع ومتطلبات النظام.

  -h, --help                show this help message and exit
  -d, --distro              Check for distro support
  -m, --min-requirement     Check for the system info against offical minimum requirements
  -e, --external-dep        Check for externel package dependency
  -c, --connectivity        Check for connectivity for services used by MDE
  -a, --all                 Run all checks
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                            Path to onboarding script
  -g GEO, --geo GEO         Geo string to test <US|UK|EU|AU|CH|IN>

مثال الاستخدام:

sudo ./MDESupportTool installation --all

يتم إنشاء تقرير installation_report.json واحد. المفاتيح الموجودة في الملف هي كما يلي:

وضع الاستبعاد

يضيف هذا الوضع استثناءات للمراقبة audit-d .

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

مثال الاستخدام:

sudo ./MDESupportTool exclude -d /var/foo/bar`

محدد معدل التدقيق

يعين هذا الخيار حد المعدل عالميا ل AuditD مما يتسبب في انخفاض في جميع أحداث التدقيق. عند تمكين المحدد، تقتصر الأحداث المدققة على 2500 حدث/ثانية. يمكن استخدام هذا الخيار في الحالات التي نرى فيها استخداما عاليا لوحدة المعالجة المركزية من جانب AuditD.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

مثال الاستخدام:

sudo ./mde_support_tool.sh ratelimit -e true

تجاوز القواعد المعيبة ل AuditD

يمكنك هذا الخيار من تخطي القواعد الخاطئة المضافة في ملف القواعد المدققة أثناء تحميلها. يسمح النظام الفرعي المدقق بمتابعة تحميل القواعد حتى إذا كانت هناك قاعدة خاطئة.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

مثال الاستخدام:

sudo ./mde_support_tool.sh skipfaultyrules -e true

استخدام الاستجابة المباشرة في Defender لنقطة النهاية لجمع سجلات الدعم

يمكن تنزيل أداة محلل عميل XMDE كحزمة ثنائية أو Python يمكن استخراجها وتنفيذها على أجهزة Linux. يمكن تنفيذ كلا الإصدارين من محلل عميل XMDE أثناء جلسة استجابة مباشرة.

• للتثبيت، الحزمة unzip مطلوبة.
• للتنفيذ، الحزمة acl مطلوبة.

تثبيت محلل عميل XMDE

قم بتنزيل واستخراج محلل عميل XMDE. يمكنك استخدام إما الإصدار الثنائي أو إصدار Python، كما يلي:

• الإصدار الثنائي من محلل العميل
• إصدار Python من محلل العميل

نظرا للأوامر المحدودة المتوفرة في الاستجابة المباشرة، يجب تنفيذ الخطوات المفصلة في برنامج نصي bash. من خلال تقسيم جزء التثبيت والتنفيذ من هذه الأوامر، من الممكن تشغيل البرنامج النصي للتثبيت مرة واحدة، وتشغيل البرنامج النصي للتنفيذ عدة مرات.

البرنامج النصي لتثبيت محلل العميل الثنائي

ينفذ البرنامج النصي التالي الخطوات الست الأولى من تشغيل الإصدار الثنائي من محلل العميل. عند الانتهاء، يتوفر ثنائي محلل عميل XMDE من /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer الدليل.

1. إنشاء ملف InstallXMDEClientAnalyzer.sh bash ولصق المحتوى التالي فيه.

   #! /usr/bin/bash 
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   echo '4E96E75B16244BB25BDBF34CBB3EB596BC2E9CE368BC4E532E8AE12DF2A1E19D /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

البرنامج النصي لتثبيت محلل عميل Python

ينفذ البرنامج النصي التالي الخطوات الست الأولى من تشغيل إصدار Python من محلل العميل. عند الانتهاء، تتوفر البرامج النصية XMDE Client Analyzer Python من /tmp/XMDEClientAnalyzer الدليل.

1. إنشاء ملف InstallXMDEClientAnalyzer.sh bash ولصق المحتوى التالي فيه.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

تشغيل البرامج النصية لتثبيت محلل العميل

1. ابدأ جلسة Live Response على الجهاز الذي تريد التحقيق فيه.

2. حدد Upload file to library.

3. حدد اختيار ملف.

4. حدد الملف الذي تم تنزيله باسم InstallXMDEClientAnalyzer.sh، ثم حدد Confirm.

5. أثناء وجودك في جلسة LiveResponse، استخدم الأوامر التالية لتثبيت المحلل:

   run InstallXMDEClientAnalyzer.sh
   

تشغيل محلل عميل XMDE

لا تدعم الاستجابة المباشرة تشغيل محلل عميل XMDE أو Python مباشرة، لذلك من الضروري وجود برنامج نصي للتنفيذ.

برنامج نصي لتنفيذ محلل العميل الثنائي

يقبل الإصدار الثنائي من محلل العميل معلمات سطر الأوامر لإجراء اختبارات تحليل مختلفة. لتوفير قدرات مماثلة أثناء الاستجابة المباشرة، يستفيد البرنامج النصي للتنفيذ من $@ متغير bash لتمرير جميع معلمات الإدخال المقدمة إلى البرنامج النصي إلى محلل عميل XMDE.

1. إنشاء ملف MDESupportTool.sh bash ولصق المحتوى التالي فيه.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

برنامج نصي لتنفيذ محلل عميل Python

يقبل إصدار Python من محلل العميل معلمات سطر الأوامر لإجراء اختبارات تحليل مختلفة. لتوفير قدرات مماثلة أثناء الاستجابة المباشرة، يستفيد البرنامج النصي للتنفيذ من $@ متغير bash لتمرير جميع معلمات الإدخال المقدمة إلى البرنامج النصي إلى محلل عميل XMDE.

1. إنشاء ملف MDESupportTool.sh bash ولصق المحتوى التالي فيه.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

تشغيل البرنامج النصي لمحلل العميل

1. ابدأ جلسة Live Response على الجهاز الذي تريد التحقيق فيه.

2. حدد Upload file to library.

3. حدد اختيار ملف.

4. حدد الملف الذي تم تنزيله باسم MDESupportTool.sh، ثم حدد Confirm.

5. أثناء وجودك في جلسة الاستجابة المباشرة، استخدم الأوامر التالية لتشغيل المحلل وجمع الملف الناتج:

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

راجع أيضًا

• نظرة عامة حول محلل العميل

• تجميع البيانات من أجل استكشاف الأخطاء وإصلاحها على Windows

• فهم تقرير HTML الخاص ب المحلل

Defender لنقطة النهاية على مستندات استكشاف الأخطاء وإصلاحها في Linux

• استكشاف مشكلات التثبيت Microsoft Defender لنقطة النهاية على Linux وإصلاحها

• التحقق من مشاكل صحة الوكيل

• استكشاف مشكلات الاتصال السحابي وإصلاحها Microsoft Defender لنقطة النهاية على Linux

• استكشاف مشكلات الأداء Microsoft Defender لنقطة النهاية على Linux وإصلاحها

• استكشاف مشكلات الأحداث أو التنبيهات المفقودة Microsoft Defender لنقطة النهاية على Linux وإصلاحها

• معالجة الإيجابيات/السلبيات الخاطئة في Microsoft Defender لنقطة النهاية