macOS 및 Linux에서 클라이언트 분석기 실행
적용 대상:
XMDEClientAnalyzer는 Linux 또는 macOS를 실행하는 온보딩된 디바이스에서 엔드포인트용 Microsoft Defender 상태 또는 안정성 문제를 진단하는 데 사용됩니다.
클라이언트 분석기 도구를 실행하는 방법에는 두 가지가 있습니다.
- 이진 버전 사용(Python 종속성 없음)
- Python 기반 솔루션 사용
클라이언트 분석기의 이진 버전 실행
조사해야 하는 macOS 또는 Linux 컴퓨터에 XMDE 클라이언트 분석기 이진 도구를 다운로드합니다.
터미널을 사용하는 경우 다음 명령을 입력하여 도구를 다운로드합니다.wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
다운로드를 확인합니다.
참고
이 링크에서 다운로드한 의
XMDEClientAnalyzerBinary.zip
현재 SHA256 해시는 입니다4E972F7950EA475A21735042484CD00CED6EA70ED9CBB48B4C9405FFD2706DFA
.Linux
echo '4E972F7950EA475A21735042484CD00CED6EA70ED9CBB48B4C9405FFD2706DFA XMDEClientAnalyzerBinary.zip' | sha256sum -c
- macOS ```console echo '4E972F7950EA475A21735042484CD00CED6EA70ED9CBB48B4C9405FFD2706DFA XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
컴퓨터에서 XMDEClientAnalyzerBinary.zip 콘텐츠를 추출합니다.
터미널을 사용하는 경우 다음 명령을 입력하여 파일을 추출합니다.
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
다음 명령을 입력하여 도구의 디렉터리로 변경합니다.
cd XMDEClientAnalyzerBinary
두 개의 새 zip 파일이 생성됩니다.
- SupportToolLinuxBinary.zip : 모든 Linux 디바이스의 경우
- SupportToolMacOSBinary.zip : Mac 디바이스의 경우
조사해야 하는 컴퓨터에 따라 위의 2개의 zip 파일 중 하나의 압축을 풉니다.
터미널을 사용하는 경우 OS 유형에 따라 다음 명령 중 하나를 입력하여 파일의 압축을 풉니다.
Linux
unzip -q SupportToolLinuxBinary.zip
Mac
unzip -q SupportToolMacOSBinary.zip
루트 로 도구를 실행하여 진단 패키지를 생성합니다.
sudo ./MDESupportTool -d
Python 기반 클라이언트 분석기 실행
참고
분석기는 루트에서 결과 출력을 생성할 때 OS에 설치된 몇 가지 추가 PIP 패키지(sh, distro, lxml, pandas)에 따라 달라집니다. 설치되지 않은 경우 분석기는 Python 패키지의 공식 리포지토리에서 가져오려고 시도합니다.
경고
Python 기반 클라이언트 분석기를 실행하려면 사용자 환경에서 몇 가지 문제를 일으킬 수 있는 PIP 패키지를 설치해야 합니다. 문제가 발생하지 않도록 하려면 사용자 PIP 환경에 패키지를 설치하는 것이 좋습니다.
또한 이 도구는 현재 Python 버전 3 이상을 설치해야 합니다.
디바이스가 프록시 뒤에 있는 경우 프록시 서버를 환경 변수로 mde_support_tool.sh 스크립트에 전달할 수 있습니다. 예를 들어:.
https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
조사해야 하는 macOS 또는 Linux 컴퓨터에 XMDE 클라이언트 분석기 도구를 다운로드합니다.
터미널을 사용하는 경우 다음 명령을 실행하여 도구를 다운로드합니다.
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
다운로드 확인
- Linux
echo 'E1C3D20516C849D8CD27257BB6084FBC2991B8F6214BF9121BB9B1446F95BB1F XMDEClientAnalyzer.zip' | sha256sum -c
- macOS
echo 'E1C3D20516C849D8CD27257BB6084FBC2991B8F6214BF9121BB9B1446F95BB1F XMDEClientAnalyzer.zip' | shasum -a 256 -c
컴퓨터에서 XMDEClientAnalyzer.zip 내용을 추출합니다. 터미널을 사용하는 경우 다음 명령을 사용하여 파일을 추출합니다.
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
디렉터리를 추출된 위치로 변경합니다.
cd XMDEClientAnalyzer
도구 실행 파일 권한을 부여합니다.
chmod a+x mde_support_tool.sh
루트가 아닌 사용자로 실행하여 필요한 종속성을 설치합니다.
./mde_support_tool.sh
실제 진단 패키지를 수집하고 결과 보관 파일을 생성하려면 루트로 다시 실행합니다.
sudo ./mde_support_tool.sh -d
명령줄 옵션
기본 명령줄
다음 명령을 사용하여 컴퓨터 진단을 가져옵니다.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--interactive, -i Interactive diagnostic
--delay DELAY, -dd DELAY
Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
사용 예제: sudo ./MDESupportTool -d
참고: 로그 수준 자동 재설정 기능은 2405 이상 클라이언트 버전에서만 사용할 수 있습니다.
위치 인수
성능 정보 수집
주문형으로 재현할 수 있는 성능 시나리오를 분석하기 위해 광범위한 컴퓨터 성능 추적을 수집합니다.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
사용 예제: sudo ./MDESupportTool performance --frequency 2
OS 추적 사용(macOS에만 해당)
OS 추적 기능을 사용하여 엔드포인트용 Defender 성능 추적을 기록합니다.
참고
이 기능은 Python 솔루션에만 존재합니다.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
이 명령을 처음으로 실행하면 프로필 구성이 설치됩니다.
프로필 설치를 승인하려면 Apple 지원 가이드를 따르세요.
사용 예제 ./mde_support_tool.sh trace --length 5
제외 모드
audit-d 모니터링에 대한 제외를 추가합니다.
참고
이 기능은 Linux용으로만 존재합니다.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
사용 예제: sudo ./MDESupportTool exclude -d /var/foo/bar
감사된 속도 제한기
auditD 플러그 인에서 보고되는 이벤트 수를 제한하는 데 사용할 수 있는 구문입니다. 이 옵션은 AuditD에 대한 속도 제한을 전역적으로 설정하여 모든 감사 이벤트가 감소합니다. 제한기를 사용하도록 설정하면 감사된 이벤트 수가 초당 2,500개의 이벤트로 제한됩니다. 이 옵션은 AuditD 쪽에서 높은 CPU 사용량이 표시되는 경우에 사용할 수 있습니다.
참고
이 기능은 Linux용으로만 존재합니다.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
사용 예제: sudo ./mde_support_tool.sh ratelimit -e true
참고
이 기능은 감사된 하위 시스템이 전체적으로 보고하는 이벤트 수를 제한하기 위해 신중하게 사용해야 합니다. 이렇게 하면 다른 구독자에 대한 이벤트 수도 줄어들 수 있습니다.
Auditd 잘못된 규칙 건너뛰기
이 옵션을 사용하면 로드하는 동안 감사된 규칙 파일에 추가된 잘못된 규칙을 건너뛸 수 있습니다. 이 옵션을 사용하면 결함이 있는 규칙이 있더라도 감사된 하위 시스템이 규칙을 계속 로드할 수 있습니다. 이 옵션은 규칙을 로드한 결과를 요약합니다. 백그라운드에서 이 옵션은 -c 옵션을 사용하여 auditctl을 실행합니다.
참고
이 기능은 Linux에서만 사용할 수 있습니다.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
사용 예제: sudo ./mde_support_tool.sh skipfaultyrules -e true
참고
이 기능은 잘못된 규칙을 건너뜁습니다. 그러면 결함이 있는 규칙을 추가로 식별하고 수정해야 합니다.
macOS 및 Linux의 결과 패키지 콘텐츠
report.html
설명: 디바이스에서 클라이언트 분석기 도구를 실행한 결과와 지침이 포함된 기본 HTML 출력 파일입니다. 이 파일은 Python 기반 버전의 클라이언트 분석기 도구를 실행할 때만 생성됩니다.
mde_diagnostic.zip
설명: macOS 또는 Linux에서 mdatp 진단 만들기를 실행할 때 생성되는 것과 동일한 진단 출력입니다.
mde.xml
설명: 실행하는 동안 생성되고 html 보고서 파일을 빌드하는 데 사용되는 XML 출력입니다.
Processes_information.txt
설명: 시스템에서 실행 중인 엔드포인트용 Microsoft Defender 관련 프로세스의 세부 정보를 포함합니다.
Log.txt
설명: 데이터 수집 중에 화면에 기록된 것과 동일한 로그 메시지를 포함합니다.
Health.txt
설명: mdatp health 명령을 실행할 때 표시되는 것과 동일한 기본 상태 출력입니다.
Events.xml
설명: HTML 보고서를 작성할 때 분석기에서 사용하는 추가 XML 파일입니다.
Audited_info.txt
설명: Linux OS에 대한 감사된 서비스 및 관련 구성 요소에 대한 세부 정보입니다.
perf_benchmark.tar.gz
설명: 성능 테스트가 보고합니다. 성능 매개 변수를 사용하는 경우에만 표시됩니다.
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.