Kör client analyzer i Windows
Gäller för:
Alternativ 1: Livesvar
Du kan samla in supportloggar för Defender för Endpoint-analysverktyg via fjärranslutning med livesvar.
Alternativ 2: Kör MDE Client Analyzer lokalt
Ladda ned verktyget MDE Client Analyzer eller MDE Client Analyzer (förhandsversion) till den Windows-enhet som du vill undersöka. Filen sparas som standard i mappen Hämtade filer.
Extrahera innehållet i
MDEClientAnalyzer.ziptill en tillgänglig mapp.Öppna en kommandorad med administratörsbehörigheter:
Gå till Start och skriv cmd.
Högerklicka på Kommandotolken och välj Kör som administratör.
Skriv följande kommando och tryck sedan på Retur:
*DrivePath*\MDEClientAnalyzer.cmdErsätt DrivePath med sökvägen där du extraherade MDEClientAnalyzer, till exempel:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
Utöver föregående procedur kan du även samla in analysverktygssupportloggar med livesvar..
Obs!
På Windows 10 och 11, Windows Server 2019 och 2022, eller Windows Server 2012R2 och 2016 med den moderna enhetliga lösningen installerad, anropar klientanalysskriptet en körbar fil som anropas MDEClientAnalyzer.exe för att köra anslutningstesterna till molntjänst-URL:er.
På Windows 8.1, Windows Server 2016 eller någon tidigare operativsystemversion där Microsoft Monitoring Agent (MMA) används för registrering anropar klientanalysskriptet till en körbar fil som heter MDEClientAnalyzerPreviousVersion.exe för att köra anslutningstester för URL:er för kommando och kontroll (CnC) samtidigt som de anropar till Microsoft Monitoring Agent-anslutningsverktyget TestCloudConnection.exe för URL:er för Cyber Data Channel.
Viktiga saker att tänka på
Alla PowerShell-skript och -moduler som ingår i analysatorn är Microsoft-signerade. Om filerna har ändrats på något sätt förväntas analysatorn avslutas med följande fel:
Om du ser det här felet innehåller issuerInfo.txt-utdata detaljerad information om varför detta hände och den berörda filen:
Exempelinnehåll när MDEClientAnalyzer.ps1 har ändrats:
Resultatpaketinnehåll i Windows
Obs!
De exakta filer som samlas in kan ändras beroende på faktorer som:
- Den windowsversion som analysatorn körs på.
- Tillgänglighet för händelseloggkanal på datorn.
- Starttillståndet för EDR-sensorn (Sense stoppas om datorn ännu inte har registrerats).
- Om en avancerad felsökningsparameter användes med kommandot analyzer.
Som standard innehåller den uppackade MDEClientAnalyzerResult.zip filen de objekt som anges i följande tabell:
| Mapp | Objekt | Beskrivning |
|---|---|---|
MDEClientAnalyzer.htm |
Det här är den huvudsakliga HTML-utdatafilen, som innehåller de resultat och vägledning som analysskriptet som körs på datorn kan producera. | |
SystemInfoLogs |
AddRemovePrograms.csv |
Lista över x64-installerad programvara på x64-operativsystem som samlats in från registret |
SystemInfoLogs |
AddRemoveProgramsWOW64.csv |
Lista över x86-installerad programvara på x64-operativsystem som samlats in från registret |
SystemInfoLogs |
CertValidate.log |
Detaljerat resultat från återkallande av certifikat som körs genom anrop till CertUtil |
SystemInfoLogs |
dsregcmd.txt |
Utdata från körning av dsregcmd. Detta ger information om datorns Microsoft Entra status. |
SystemInfoLogs |
IFEO.txt |
Utdata från körningsalternativ för bildfiler som konfigurerats på datorn |
SystemInfoLogs |
MDEClientAnalyzer.txt |
Det här är en utförlig textfil som visas med information om körningen av analysskriptet. |
SystemInfoLogs |
MDEClientAnalyzer.xml |
XML-format som innehåller analysskriptets resultat |
SystemInfoLogs |
RegOnboardedInfoCurrent.Json |
Den registrerade datorinformationen som samlats in i JSON-format från registret |
SystemInfoLogs |
RegOnboardingInfoPolicy.Json |
Registreringsprincipkonfigurationen som samlats in i JSON-format från registret |
SystemInfoLogs |
SCHANNEL.txt |
Information om SCHANNEL-konfiguration som tillämpas på datorn som samlas in från registret |
SystemInfoLogs |
SessionManager.txt |
Sessionshanterarens specifika inställningar samlas in från registret |
SystemInfoLogs |
SSL_00010002.txt |
Information om SSL-konfiguration som tillämpas på datorn som samlas in från registret |
EventLogs |
utc.evtx |
Export av DiagTrack-händelselogg |
EventLogs |
senseIR.evtx |
Export av händelseloggen för automatiserad undersökning |
EventLogs |
sense.evtx |
Export av huvudhändelseloggen för sensorn |
EventLogs |
OperationsManager.evtx |
Export av händelseloggen för Microsoft Monitoring Agent |
MdeConfigMgrLogs |
SecurityManagementConfiguration.json |
Konfigurationer som skickas från MEM (Microsoft Endpoint Manager) för tillämpning |
MdeConfigMgrLogs |
policies.json |
Principinställningar som ska tillämpas på enheten |
MdeConfigMgrLogs |
report_xxx.json |
Motsvarande tvingande resultat |
Se även
- Client analyzer översikt
- Ladda ned och kör client analyzer
- Data-samling för avancerad felsökning i Windows
- Förstå HTML-rapporten för analysen
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.