تشغيل محلل العميل على Windows
ينطبق على:
لديك خياران لتشغيل محلل عميل Defender لنقطة النهاية على Windows:
- استخدام الاستجابة المباشرة
- تشغيل محلل العميل محليا على الجهاز
الخيار 1: الاستجابة المباشرة
يمكنك جمع سجلات دعم Defender for Endpoint analyzer عن بعد باستخدام Live Response.
الخيار 2: تشغيل محلل العميل MDE محليا
قم بتنزيل MDE أداة محلل العميل أو MDE أداة محلل العميل (معاينة) إلى جهاز Windows الذي تريد التحقق من ذلك. يتم حفظ الملف في مجلد التنزيلات بشكل افتراضي.
استخراج محتويات
MDEClientAnalyzer.zipإلى مجلد متوفر.افتح سطر أوامر بأذونات المسؤول:
انتقل إلى البدء واكتب cmd.
انقر بزر الماوس الأيمن فوق موجه الأوامر وحدد تشغيل كمسؤول.
اكتب الأمر التالي ثم اضغط على مفتاح الإدخال Enter:
*DrivePath*\MDEClientAnalyzer.cmdاستبدل DrivePath بالمسار حيث قمت باستخراج MDEClientAnalyzer، على سبيل المثال:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
بالإضافة إلى الإجراء السابق، يمكنك أيضا جمع سجلات دعم المحلل باستخدام الاستجابة المباشرة.
ملاحظة
في Windows 10 و11، Windows Server 2019 و2022، أو Windows Server 2012R2 و2016 مع تثبيت الحل الموحد الحديث، يستدعي البرنامج النصي لمحلل العميل ملفا قابلا للتنفيذ يسمى MDEClientAnalyzer.exe لتشغيل اختبارات الاتصال بعناوين URL للخدمة السحابية.
في Windows 8.1، Windows Server 2016 أو أي إصدار سابق لنظام التشغيل حيث يتم استخدام Microsoft Monitoring Agent (MMA) للإلحاق، يستدعي البرنامج النصي لمحلل العميل ملفا قابلا للتنفيذ يسمى MDEClientAnalyzerPreviousVersion.exe لتشغيل اختبارات الاتصال لعناوين URL لعناوين URL ل Command and Control (CnC) مع الاتصال أيضا بأداة TestCloudConnection.exe اتصال عامل مراقبة Microsoft لعناوين URL لقناة البيانات الإلكترونية.
النقاط المهمة التي يجب أن تضعها في الاعتبار
جميع البرامج النصية والوحدات النمطية PowerShell المضمنة مع المحلل موقعة من Microsoft. إذا تم تعديل الملفات بأي شكل من الأشكال، فمن المتوقع أن يخرج المحلل مع الخطأ التالي:
إذا رأيت هذا الخطأ، فإن إخراج issuerInfo.txt يحتوي على معلومات مفصلة حول سبب حدوث ذلك والملف المتأثر:
مثال على المحتويات بعد تعديل MDEClientAnalyzer.ps1:
محتويات حزمة النتائج على Windows
ملاحظة
قد تتغير الملفات الدقيقة التي تم التقاطها اعتمادا على عوامل مثل:
- إصدار النوافذ التي يتم تشغيل المحلل عليها.
- توفر قناة سجل الأحداث على الجهاز.
- حالة بدء مستشعر EDR (يتم إيقاف الاستشعار إذا لم يتم إلحاق الجهاز بعد).
- إذا تم استخدام معلمة متقدمة لاستكشاف الأخطاء وإصلاحها مع أمر المحلل.
بشكل افتراضي، يحتوي الملف غير المحزم MDEClientAnalyzerResult.zip على العناصر المدرجة في الجدول التالي:
| مجلد | العنصر | الوصف |
|---|---|---|
MDEClientAnalyzer.htm |
هذا هو ملف إخراج HTML الرئيسي، والذي سيحتوي على النتائج والإرشادات التي يمكن أن ينتجها البرنامج النصي للمحلل الذي يعمل على الجهاز. | |
SystemInfoLogs |
AddRemovePrograms.csv |
قائمة برامج x64 المثبتة على نظام التشغيل x64 التي تم جمعها من السجل |
SystemInfoLogs |
AddRemoveProgramsWOW64.csv |
قائمة برامج x86 المثبتة على نظام التشغيل x64 التي تم جمعها من السجل |
SystemInfoLogs |
CertValidate.log |
نتيجة مفصلة من إبطال الشهادة المنفذة عن طريق الاتصال ب CertUtil |
SystemInfoLogs |
dsregcmd.txt |
الإخراج من تشغيل dsregcmd. يوفر هذا تفاصيل حول حالة Microsoft Entra للجهاز. |
SystemInfoLogs |
IFEO.txt |
إخراج خيارات تنفيذ ملف الصورة التي تم تكوينها على الجهاز |
SystemInfoLogs |
MDEClientAnalyzer.txt |
هذا ملف نصي مطول يظهر مع تفاصيل تنفيذ البرنامج النصي للمحلل. |
SystemInfoLogs |
MDEClientAnalyzer.xml |
تنسيق XML الذي يحتوي على نتائج البرنامج النصي للمحلل |
SystemInfoLogs |
RegOnboardedInfoCurrent.Json |
معلومات الجهاز المإلحاق التي تم جمعها بتنسيق JSON من السجل |
SystemInfoLogs |
RegOnboardingInfoPolicy.Json |
تكوين نهج الإلحاق الذي تم جمعه بتنسيق JSON من السجل |
SystemInfoLogs |
SCHANNEL.txt |
تفاصيل حول تكوين SCHANNEL المطبق على الجهاز الذي تم جمعه من السجل |
SystemInfoLogs |
SessionManager.txt |
تجمع الإعدادات الخاصة ب Session Manager من السجل |
SystemInfoLogs |
SSL_00010002.txt |
تفاصيل حول تكوين SSL المطبق على الجهاز الذي تم جمعه من السجل |
EventLogs |
utc.evtx |
تصدير سجل أحداث DiagTrack |
EventLogs |
senseIR.evtx |
تصدير سجل أحداث التحقيق التلقائي |
EventLogs |
sense.evtx |
تصدير سجل الأحداث الرئيسي لأداة الاستشعار |
EventLogs |
OperationsManager.evtx |
تصدير سجل أحداث عامل مراقبة Microsoft |
MdeConfigMgrLogs |
SecurityManagementConfiguration.json |
التكوينات المرسلة من MEM (إدارة نقاط النهاية من Microsoft) للإنفاذ |
MdeConfigMgrLogs |
policies.json |
إعدادات النهج التي سيتم فرضها على الجهاز |
MdeConfigMgrLogs |
report_xxx.json |
نتائج الإنفاذ المقابلة |
راجع أيضًا
- نظرة عامة حول محلل العميل
- تجميع البيانات من أجل استكشاف الأخطاء وإصلاحها على Windows
- فهم تقرير HTML الخاص ب المحلل
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.