استكشاف مشكلات التثبيت Microsoft Defender لنقطة النهاية على Linux وإصلاحها

ينطبق على:

• Defender for Endpoint الخطة 2
• Microsoft 365 Defender

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

تحقق من نجاح التثبيت

قد يؤدي خطأ في التثبيت أو لا يؤدي إلى رسالة خطأ ذات معنى من قبل مدير الحزمة. للتحقق مما إذا كان التثبيت قد نجح، احصل على سجلات التثبيت وتحقق منها باستخدام:

 sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log

 grep 'postinstall end' installation.log

 microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

يشير الإخراج من الأمر السابق مع التاريخ والوقت الصحيحين للتثبيت إلى النجاح.

تحقق أيضا من تكوين العميل للتحقق من صحة المنتج واكتشاف الملف النصي EICAR.

تأكد من أن لديك الحزمة الصحيحة

تحقق من أن الحزمة التي تقوم بتثبيتها تطابق توزيع المضيف وإصداره.

---

حزمه	توزيع
mdatp-rhel8. Linux.x86_64.rpm	Oracle وRHEL وCentOS 8.x
mdatp-sles12. Linux.x86_64.rpm	SUSE Linux Enterprise Server 12.x
mdatp-sles15. Linux.x86_64.rpm	SUSE Linux Enterprise Server 15.x
mdatp. Linux.x86_64.rpm	Oracle وRHEL وCentOS 7.x
mdatp. Linux.x86_64.deb	Debian وUbuntu 16.04 و18.04 و20.04

للتوزيع اليدوي، تأكد من اختيار التوزيعة والإصدار الصحيحين.

فشل التثبيت بسبب خطأ في التبعية

إذا فشل تثبيت Microsoft Defender لنقطة النهاية بسبب أخطاء التبعيات المفقودة، يمكنك تنزيل التبعيات المطلوبة مسبقا يدويا.

توجد تبعيات الحزمة الخارجية التالية لحزمة mdatp:

• تتطلب حزمة mdatp RPM "glibc >= 2.17" و"audit" و"policycoreutils" و"semanage" و"selinux-policy-targeted" و"mde-netfilter"
• بالنسبة إلى RHEL6، تتطلب حزمة mdatp RPM "تدقيق" و"policycoreutils" و"libselinux" و"mde-netfilter"
• بالنسبة إلى DEBIAN، تتطلب حزمة mdatp "libc6 >= 2.23" و"uuid-runtime" و"auditd" و"mde-netfilter"

تحتوي حزمة mde-netfilter أيضا على تبعيات الحزمة التالية:

• بالنسبة إلى DEBIAN، تتطلب حزمة mde-netfilter "libnetfilter-queue1"، "libglib2.0-0"
• بالنسبة إلى RPM، تتطلب حزمة mde-netfilter "libmnl" و"libnfnetlink" و"libnetfilter_queue" و"glib2"

فشل التثبيت

تحقق مما إذا كانت خدمة Defender لنقطة النهاية قيد التشغيل:

service mdatp status

 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

خطوات استكشاف الأخطاء وإصلاحها إذا لم تكن خدمة mdatp قيد التشغيل

1. تحقق مما إذا كان المستخدم "mdatp" موجودا:

   id "mdatp"
   

   إذا لم يكن هناك إخراج، فقم بتشغيل

   sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
   

2. حاول تمكين الخدمة وإعادة تشغيلها باستخدام:

   sudo service mdatp start
   

   sudo service mdatp restart
   

3. إذا لم يتم العثور على mdatp.service عند تشغيل الأمر السابق، فقم بتشغيل:

   sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path> 
   

   حيث <systemd_path> هو /lib/systemd/system لتوزيعات Ubuntu وDebian و/usr/lib/systemd/system' ل Rhel وCentOS وOracle وSLES. ثم أعد تشغيل الخطوة 2.

4. إذا لم تعمل الخطوات المذكورة أعلاه، فتحقق مما إذا كان SELinux مثبتا وفي وضع فرض. إذا كان الأمر كذلك، فحاول تعيينه إلى وضع متساهل (يفضل) أو معطل. يمكن القيام بذلك عن طريق تعيين المعلمة SELINUX إلى "متساهل" أو "معطل" في /etc/selinux/config الملف، متبوعا بإعادة التشغيل. تحقق من صفحة man-page من selinux لمزيد من التفاصيل. حاول الآن إعادة تشغيل خدمة mdatp باستخدام الخطوة 2. قم بإعادة تغيير التكوين على الفور لأسباب أمنية بعد تجربته وإعادة التشغيل.

5. إذا كان /opt الدليل ارتباطا رمزيا، فقم بإنشاء تحميل ربط ل /opt/microsoft.

6. تأكد من أن البرنامج الخفي لديه إذن قابل للتنفيذ.

   ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
   

   -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   إذا لم يكن لدى البرنامج الخفي أذونات قابلة للتنفيذ، فجعله قابلا للتنفيذ باستخدام:

   sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   وأعد محاولة تشغيل الخطوة 2.

7. تأكد من عدم تحميل نظام الملفات الذي يحتوي على wdavdaemon مع "noexec".

إذا كانت خدمة Defender لنقطة النهاية قيد التشغيل، ولكن الكشف عن الملفات النصية EICAR لا يعمل

1. تحقق من نوع نظام الملفات باستخدام:

   findmnt -T <path_of_EICAR_file>
   

   يتم سرد أنظمة الملفات المدعومة حاليا للنشاط عند الوصول هنا. لن يتم مسح أي ملفات خارج أنظمة الملفات هذه ضوئيا.

أداة سطر الأوامر "mdatp" لا تعمل

1. إذا كان تشغيل أداة mdatp سطر الأوامر يعطي خطأ command not found، فقم بتشغيل الأمر التالي:

   sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
   

   وحاول مرة أخرى.

   إذا لم تساعد أي من الخطوات المذكورة أعلاه، فاجمع سجلات التشخيص:

   sudo mdatp diagnostic create
   

   Diagnostic file created: <path to file>
   

   سيتم عرض المسار إلى ملف مضغوط يحتوي على السجلات كإخراج. تواصل مع دعم العملاء لدينا باستخدام هذه السجلات.