Aracılığıyla paylaş


İstemci çözümleyicisini Windows’da çalıştırın

Şunlar için geçerlidir:

1. Seçenek: Canlı yanıt

Canlı Yanıt'ı kullanarak Uç Nokta için Defender çözümleyicisi destek günlüklerini uzaktan toplayabilirsiniz.

Seçenek 2: MDE İstemci Çözümleyicisi'ni yerel olarak çalıştırma

  1. araştırmak istediğiniz Windows cihazına MDE İstemci Çözümleyicisi aracını veya MDE İstemci Çözümleyicisi aracını (önizleme) indirin. Dosya varsayılan olarak İndirilenler klasörünüze kaydedilir.

  2. içeriğini MDEClientAnalyzer.zip kullanılabilir bir klasöre ayıklayın.

  3. Yönetici izinlerine sahip bir komut satırı açın:

    1. Başlangıç'a gidin ve cmd yazın.

    2. Komut istemi'ne sağ tıklayın ve Yönetici olarak çalıştır'ı seçin.

  4. Aşağıdaki komutu yazın ve Enter tuşuna basın:

    *DrivePath*\MDEClientAnalyzer.cmd
    

    DrivePath'i MDEClientAnalyzer ayıkladığınız yolla değiştirin, örneğin:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    

Önceki yordama ek olarak, canlı yanıt kullanarak çözümleyici destek günlüklerini de toplayabilirsiniz..

Not

Windows 10 ve 11, Windows Server 2019 ve 2022 veya Windows Server 2012R2 ve 2016'da modern birleşik çözüm yüklüyse istemci çözümleyicisi betiği, bulut hizmeti URL'lerine bağlantı testlerini çalıştırmak için adlı MDEClientAnalyzer.exe yürütülebilir bir dosyayı çağırır.

Windows 8.1, Windows Server 2016 veya ekleme için Microsoft Monitoring Agent'ın (MMA) kullanıldığı herhangi bir işletim sistemi sürümünde istemci çözümleyicisi betiği, Komut ve Denetim (CnC) URL'leri için bağlantı testleri çalıştırmak üzere adlı MDEClientAnalyzerPreviousVersion.exe yürütülebilir bir dosyaya çağrı yaparken, Siber Veri kanalı URL'leri için Microsoft Monitoring Agent bağlantı aracına TestCloudConnection.exe da çağrıda bulunur.

Dikkat edilmesi gereken önemli noktalar

Çözümleyiciye dahil edilen tüm PowerShell betikleri ve modülleri Microsoft tarafından imzalandı. Dosyalar herhangi bir şekilde değiştirildiyse çözümleyicinin aşağıdaki hatayla çıkması beklenir:

İstemci çözümleyici hatası

Bu hatayı görürseniz, issuerInfo.txt çıktısı bunun neden oluştuğu ve etkilenen dosya hakkında ayrıntılı bilgiler içerir:

Veren bilgileri

MDEClientAnalyzer.ps1 değiştirildikten sonra örnek içerik:

Değiştirilen ps1 dosyası

Windows'ta sonuç paketi içeriği

Not

Yakalanan dosyaların tam olarak değişmesi, aşağıdakiler gibi faktörlere bağlı olarak değişebilir:

  • Çözümleyicinin çalıştırıldığı pencerelerin sürümü.
  • Makinede olay günlüğü kanalı kullanılabilirliği.
  • EDR algılayıcısının başlangıç durumu (Makine henüz eklenmemişse Akıllı durdurulur).
  • Çözümleyici komutuyla gelişmiş bir sorun giderme parametresi kullanıldıysa.

Paketlenmemiş MDEClientAnalyzerResult.zip dosya varsayılan olarak aşağıdaki tabloda listelenen öğeleri içerir:

Klasör Öğe Açıklama
MDEClientAnalyzer.htm Bu, çözümleyici betiğinin makinede çalıştırabileceği bulguları ve yönergeleri içeren ana HTML çıkış dosyasıdır.
SystemInfoLogs AddRemovePrograms.csv Kayıt defterinden toplanan x64 işletim sistemindeki x64 yüklü yazılımların listesi
SystemInfoLogs AddRemoveProgramsWOW64.csv Kayıt defterinden toplanan x64 işletim sistemindeki x86 yüklü yazılımların listesi
SystemInfoLogs CertValidate.log CertUtil'e çağrılarak yürütülen sertifika iptalinden ayrıntılı sonuç
SystemInfoLogs dsregcmd.txt dsregcmd çalıştırılan çıktı. Bu, makinenin Microsoft Entra durumu hakkında ayrıntılar sağlar.
SystemInfoLogs IFEO.txt Makinede yapılandırılan Görüntü Dosyası Yürütme Seçeneklerinin Çıkışı
SystemInfoLogs MDEClientAnalyzer.txt Bu, çözümleyici betiği yürütme ayrıntılarıyla birlikte gösterilen ayrıntılı metin dosyasıdır.
SystemInfoLogs MDEClientAnalyzer.xml Çözümleyici betik bulgularını içeren XML biçimi
SystemInfoLogs RegOnboardedInfoCurrent.Json Kayıt defterinden JSON biçiminde toplanan eklenen makine bilgileri
SystemInfoLogs RegOnboardingInfoPolicy.Json Kayıt defterinden JSON biçiminde toplanan ekleme ilkesi yapılandırması
SystemInfoLogs SCHANNEL.txt Kayıt defterinden toplanan makineye uygulanan SCHANNEL yapılandırmasıyla ilgili ayrıntılar
SystemInfoLogs SessionManager.txt Oturum Yöneticisi'ne özgü ayarlar kayıt defterinden toplanır
SystemInfoLogs SSL_00010002.txt Kayıt defterinden toplanan makineye uygulanan SSL yapılandırmasıyla ilgili ayrıntılar
EventLogs utc.evtx DiagTrack olay günlüğünü dışarı aktarma
EventLogs senseIR.evtx Otomatik Araştırma olay günlüğünü dışarı aktarma
EventLogs sense.evtx Algılayıcı ana olay günlüğünü dışarı aktarma
EventLogs OperationsManager.evtx Microsoft Monitoring Agent olay günlüğünü dışarı aktarma
MdeConfigMgrLogs SecurityManagementConfiguration.json Zorlama için MEM'den (Microsoft Endpoint Manager) gönderilen yapılandırmalar
MdeConfigMgrLogs policies.json Cihazda zorunlu kılınacak ilke ayarları
MdeConfigMgrLogs report_xxx.json Karşılık gelen zorlama sonuçları

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.