Řešení potíží s Microsoft Defender for Endpoint v linuxovém RHEL6
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Důležité
Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Tento článek obsahuje pokyny k řešení potíží, se kterými se můžete setkat s Microsoft Defender pro Linux v systému Red Hat Linux 6 (RHEL 6) nebo novějším.
Po instalaci balíčku (mdatp_XXX.XX.XX.XX.x86_64.rpm) proveďte příslušné akce k ověření úspěšné instalace.
Kontrola stavu služby
Pomocí následujícího příkazu zkontrolujte stav služby:
mdatp health
Ověřte, že je služba spuštěná.
Pomocí následujícího příkazu ověřte, že je služba spuštěná:
service mdatp status
Očekávaný výstup: mdatp start/running, process 4517
Ověření distribuce a verze jádra
Distribuce a verze jádra by měly být v seznamu podporovaných verzí.
K získání verze distribuce použijte následující příkaz:
cat /etc/redhat-release (or /etc/system-release)
K získání verze jádra použijte následující příkaz:
uname -r
Kontrola, jestli je spuštěný proces mdatp audisp
Očekávaný výstup je, že proces je spuštěný.
Pomocí následujícího příkazu zkontrolujte:
pidof mdatp_audisp_plugin
Kontrola modulů TALPA
Mělo by být načteno devět modulů.
Pomocí následujícího příkazu zkontrolujte:
lsmod | grep talpa
Očekávaný výstup: Povoleno
talpa_pedconnector 878 0
talpa_pedevice 5189 2 talpa_pedconnector
talpa_vfshook 32300 1
talpa_vcdevice 4947 1
talpa_syscall 9127 0
talpa_core 90699 4 talpa_vfshook,talpa_vcdevice,talpa_syscall
talpa_linux 29424 5 talpa_vfshook,talpa_vcdevice,talpa_syscall,talpa_core
talpa_syscallhookprobe 882 0
talpa_syscallhook 14987 2 talpa_vfshook,talpa_syscallhookprobe
lsmod | grep talpa | wc -l
Očekávaný výstup: 9
Kontrola stavu TALPA
cat /proc/sys/talpa/interceptors/VFSHookInterceptor/status
Soubory protokolu ladění (kromě sady mdatp diagnostic create)
/var/log/audit/audit.log
/var/log/messages
semanage fcontext -l > selinux.log
Výkon a paměť
top -p <wdavdaemon pid>
pmap -x <wdavdaemon pid>
Kde <wdavdaemon pid>
se dá najít pomocí pidof wdavdaemon
.
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro