استكشاف مشكلات Microsoft Defender لنقطة النهاية على Linux RHEL6 وإصلاحها

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

توفر هذه المقالة إرشادات حول كيفية استكشاف المشكلات التي قد تواجهها مع Microsoft Defender لنظام التشغيل Linux على Red Hat Linux 6 (RHEL 6) أو أعلى.

بعد تثبيت الحزمة (mdatp_XXX.XX.XX.XX.x86_64.rpm)، اتخذ الإجراءات المقدمة للتحقق من نجاح التثبيت.

التحقق من صحة الخدمة

استخدم الأمر التالي للتحقق من صحة الخدمة:

mdatp health 

تحقق من تشغيل الخدمة

استخدم الأمر التالي للتحقق من تشغيل الخدمة:

service mdatp status 

الإخراج المتوقع: mdatp start/running, process 4517

تحقق من التوزيع وإصدار النواة

يجب أن تكون إصدارات التوزيع والنواة في القائمة المدعومة.

استخدم الأمر التالي للحصول على إصدار التوزيع:

cat /etc/redhat-release (or /etc/system-release) 

استخدم الأمر التالي للحصول على إصدار kernel:

uname -r

تحقق مما إذا كانت عملية mdatp audisp قيد التشغيل

الإخراج المتوقع هو أن العملية قيد التشغيل.

استخدم الأمر التالي للتحقق من:

pidof mdatp_audisp_plugin 

التحقق من وحدات TALPA النمطية

يجب تحميل تسع وحدات نمطية.

استخدم الأمر التالي للتحقق من:

lsmod | grep talpa

الإخراج المتوقع: ممكن

talpa_pedconnector       878  0 

talpa_pedevice          5189  2 talpa_pedconnector 

talpa_vfshook          32300  1 

talpa_vcdevice          4947  1 

talpa_syscall           9127  0 

talpa_core             90699  4 talpa_vfshook,talpa_vcdevice,talpa_syscall 

talpa_linux            29424  5 talpa_vfshook,talpa_vcdevice,talpa_syscall,talpa_core 

talpa_syscallhookprobe      882  0 

talpa_syscallhook      14987  2 talpa_vfshook,talpa_syscallhookprobe 

lsmod | grep talpa | wc -l 

الإخراج المتوقع: 9

التحقق من حالة TALPA

cat /proc/sys/talpa/interceptors/VFSHookInterceptor/status 

تتبع أخطاء ملفات السجل (بصرف النظر عن حزمة "إنشاء تشخيص mdatp")

/var/log/audit/audit.log 

/var/log/messages 

semanage fcontext -l > selinux.log 

الأداء والذاكرة

top -p <wdavdaemon pid>      

pmap -x <wdavdaemon pid> 

حيث <wdavdaemon pid> يمكن العثور عليها باستخدام pidof wdavdaemon.

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.