Sdílet prostřednictvím

Řešení potíží s Microsoft Defender for Endpoint v linuxovém RHEL6

  • Článek

Platí pro:

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tento článek obsahuje pokyny k řešení potíží, se kterými se můžete setkat s Microsoft Defender pro Linux v systému Red Hat Linux 6 (RHEL 6) nebo novějším.

Po instalaci balíčku (mdatp_XXX.XX.XX.XX.x86_64.rpm) proveďte příslušné akce k ověření úspěšné instalace.

Kontrola stavu služby

Pomocí následujícího příkazu zkontrolujte stav služby:

mdatp health

Ověřte, že je služba spuštěná.

Pomocí následujícího příkazu ověřte, že je služba spuštěná:

service mdatp status

Očekávaný výstup: mdatp start/running, process 4517

Ověření distribuce a verze jádra

Distribuce a verze jádra by měly být v seznamu podporovaných verzí.

K získání verze distribuce použijte následující příkaz:

cat /etc/redhat-release (or /etc/system-release)

K získání verze jádra použijte následující příkaz:

uname -r

Kontrola, jestli je spuštěný proces mdatp audisp

Očekávaný výstup je, že proces je spuštěný.

Pomocí následujícího příkazu zkontrolujte:

pidof mdatp_audisp_plugin

Kontrola modulů TALPA

Mělo by být načteno devět modulů.

Pomocí následujícího příkazu zkontrolujte:

lsmod | grep talpa

Očekávaný výstup: Povoleno

talpa_pedconnector       878  0 

talpa_pedevice          5189  2 talpa_pedconnector 

talpa_vfshook          32300  1 

talpa_vcdevice          4947  1 

talpa_syscall           9127  0 

talpa_core             90699  4 talpa_vfshook,talpa_vcdevice,talpa_syscall 

talpa_linux            29424  5 talpa_vfshook,talpa_vcdevice,talpa_syscall,talpa_core 

talpa_syscallhookprobe      882  0 

talpa_syscallhook      14987  2 talpa_vfshook,talpa_syscallhookprobe 

lsmod | grep talpa | wc -l

Očekávaný výstup: 9

Kontrola stavu TALPA

cat /proc/sys/talpa/interceptors/VFSHookInterceptor/status

Soubory protokolu ladění (kromě sady mdatp diagnostic create)

/var/log/audit/audit.log 

/var/log/messages 

semanage fcontext -l > selinux.log

Výkon a paměť

top -p <wdavdaemon pid>      

pmap -x <wdavdaemon pid>

Kde <wdavdaemon pid> se dá najít pomocí pidof wdavdaemon.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.