İstemci çözümleyicisini Windows’da çalıştırın
Şunlar için geçerlidir:
1. Seçenek: Canlı yanıt
Canlı Yanıt'ı kullanarak Uç Nokta için Defender çözümleyicisi destek günlüklerini uzaktan toplayabilirsiniz.
Seçenek 2: MDE İstemci Çözümleyicisi'ni yerel olarak çalıştırma
araştırmak istediğiniz Windows cihazına MDE İstemci Çözümleyicisi aracını veya MDE İstemci Çözümleyicisi aracını (önizleme) indirin. Dosya varsayılan olarak İndirilenler klasörünüze kaydedilir.
içeriğini
MDEClientAnalyzer.zip
kullanılabilir bir klasöre ayıklayın.Yönetici izinlerine sahip bir komut satırı açın:
Başlangıç'a gidin ve cmd yazın.
Komut istemi'ne sağ tıklayın ve Yönetici olarak çalıştır'ı seçin.
Aşağıdaki komutu yazın ve Enter tuşuna basın:
*DrivePath*\MDEClientAnalyzer.cmd
DrivePath'i MDEClientAnalyzer ayıkladığınız yolla değiştirin, örneğin:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
Önceki yordama ek olarak, canlı yanıt kullanarak çözümleyici destek günlüklerini de toplayabilirsiniz..
Not
Windows 10 ve 11, Windows Server 2019 ve 2022 veya Windows Server 2012R2 ve 2016'da modern birleşik çözüm yüklüyse istemci çözümleyicisi betiği, bulut hizmeti URL'lerine bağlantı testlerini çalıştırmak için adlı MDEClientAnalyzer.exe
yürütülebilir bir dosyayı çağırır.
Windows 8.1, Windows Server 2016 veya ekleme için Microsoft Monitoring Agent'ın (MMA) kullanıldığı herhangi bir işletim sistemi sürümünde istemci çözümleyicisi betiği, Komut ve Denetim (CnC) URL'leri için bağlantı testleri çalıştırmak üzere adlı MDEClientAnalyzerPreviousVersion.exe
yürütülebilir bir dosyaya çağrı yaparken, Siber Veri kanalı URL'leri için Microsoft Monitoring Agent bağlantı aracına TestCloudConnection.exe
da çağrıda bulunur.
Dikkat edilmesi gereken önemli noktalar
Çözümleyiciye dahil edilen tüm PowerShell betikleri ve modülleri Microsoft tarafından imzalandı. Dosyalar herhangi bir şekilde değiştirildiyse çözümleyicinin aşağıdaki hatayla çıkması beklenir:
Bu hatayı görürseniz, issuerInfo.txt çıktısı bunun neden oluştuğu ve etkilenen dosya hakkında ayrıntılı bilgiler içerir:
MDEClientAnalyzer.ps1 değiştirildikten sonra örnek içerik:
Windows'ta sonuç paketi içeriği
Not
Yakalanan dosyaların tam olarak değişmesi, aşağıdakiler gibi faktörlere bağlı olarak değişebilir:
- Çözümleyicinin çalıştırıldığı pencerelerin sürümü.
- Makinede olay günlüğü kanalı kullanılabilirliği.
- EDR algılayıcısının başlangıç durumu (Makine henüz eklenmemişse Akıllı durdurulur).
- Çözümleyici komutuyla gelişmiş bir sorun giderme parametresi kullanıldıysa.
Paketlenmemiş MDEClientAnalyzerResult.zip
dosya varsayılan olarak aşağıdaki tabloda listelenen öğeleri içerir:
Klasör | Öğe | Açıklama |
---|---|---|
MDEClientAnalyzer.htm |
Bu, çözümleyici betiğinin makinede çalıştırabileceği bulguları ve yönergeleri içeren ana HTML çıkış dosyasıdır. | |
SystemInfoLogs |
AddRemovePrograms.csv |
Kayıt defterinden toplanan x64 işletim sistemindeki x64 yüklü yazılımların listesi |
SystemInfoLogs |
AddRemoveProgramsWOW64.csv |
Kayıt defterinden toplanan x64 işletim sistemindeki x86 yüklü yazılımların listesi |
SystemInfoLogs |
CertValidate.log |
CertUtil'e çağrılarak yürütülen sertifika iptalinden ayrıntılı sonuç |
SystemInfoLogs |
dsregcmd.txt |
dsregcmd çalıştırılan çıktı. Bu, makinenin Microsoft Entra durumu hakkında ayrıntılar sağlar. |
SystemInfoLogs |
IFEO.txt |
Makinede yapılandırılan Görüntü Dosyası Yürütme Seçeneklerinin Çıkışı |
SystemInfoLogs |
MDEClientAnalyzer.txt |
Bu, çözümleyici betiği yürütme ayrıntılarıyla birlikte gösterilen ayrıntılı metin dosyasıdır. |
SystemInfoLogs |
MDEClientAnalyzer.xml |
Çözümleyici betik bulgularını içeren XML biçimi |
SystemInfoLogs |
RegOnboardedInfoCurrent.Json |
Kayıt defterinden JSON biçiminde toplanan eklenen makine bilgileri |
SystemInfoLogs |
RegOnboardingInfoPolicy.Json |
Kayıt defterinden JSON biçiminde toplanan ekleme ilkesi yapılandırması |
SystemInfoLogs |
SCHANNEL.txt |
Kayıt defterinden toplanan makineye uygulanan SCHANNEL yapılandırmasıyla ilgili ayrıntılar |
SystemInfoLogs |
SessionManager.txt |
Oturum Yöneticisi'ne özgü ayarlar kayıt defterinden toplanır |
SystemInfoLogs |
SSL_00010002.txt |
Kayıt defterinden toplanan makineye uygulanan SSL yapılandırmasıyla ilgili ayrıntılar |
EventLogs |
utc.evtx |
DiagTrack olay günlüğünü dışarı aktarma |
EventLogs |
senseIR.evtx |
Otomatik Araştırma olay günlüğünü dışarı aktarma |
EventLogs |
sense.evtx |
Algılayıcı ana olay günlüğünü dışarı aktarma |
EventLogs |
OperationsManager.evtx |
Microsoft Monitoring Agent olay günlüğünü dışarı aktarma |
MdeConfigMgrLogs |
SecurityManagementConfiguration.json |
Zorlama için MEM'den (Microsoft Endpoint Manager) gönderilen yapılandırmalar |
MdeConfigMgrLogs |
policies.json |
Cihazda zorunlu kılınacak ilke ayarları |
MdeConfigMgrLogs |
report_xxx.json |
Karşılık gelen zorlama sonuçları |
Ayrıca bkz.
- İstemci çözümleyicisine genel bakış
- İstemci çözümleyicisini indirin ve çalıştırın
- Windows'da gelişmiş sorun giderme için veri toplama
- Çözümleyici HTML raporunu inceleyin
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.