Foretag fejlfinding af installationsproblemer for Microsoft Defender for Endpoint på Linux

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Kontrollér, at installationen lykkedes

En fejl i installationen kan eller vil muligvis ikke resultere i en meningsfuld fejlmeddelelse fra Pakkestyring. Hvis du vil kontrollere, om installationen lykkedes, skal du hente og kontrollere installationslogfilerne ved hjælp af:

 sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log

 grep 'postinstall end' installation.log

 microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

Et output fra den forrige kommando med korrekt dato og klokkeslæt for installationen angiver, at installationen lykkedes.

Kontrollér også klientkonfigurationen for at kontrollere produktets tilstand og registrere EICAR-tekstfilen.

Sørg for, at du har den korrekte pakke

Kontrollér, at den pakke, du installerer, svarer til værtsdistributionen og -versionen.

---

Pakke	Distribution
mdatp-rhel8. Linux.x86_64.rpm	Oracle, RHEL og CentOS 8.x
mdatp-sles12. Linux.x86_64.rpm	SUSE Linux Enterprise Server 12.x
mdatp-sles15. Linux.x86_64.rpm	SUSE Linux Enterprise Server 15.x
mdatp. Linux.x86_64.rpm	Oracle, RHEL og CentOS 7.x
mdatp. Linux.x86_64.deb	Debian og Ubuntu 16.04, 18.04 og 20.04

I forbindelse med manuel installation skal du kontrollere, at den korrekte distro og version er valgt.

Installationen mislykkedes på grund af en afhængighedsfejl

Hvis Microsoft Defender for Endpoint installationen mislykkes på grund af manglende afhængighedsfejl, kan du manuelt downloade de påkrævede afhængigheder.

Der findes følgende eksterne pakkeafhængigheder for mdatp-pakken:

• Mdatp RPM-pakken kræver glibc >= 2.17, audit, policycoreutils, semanage, , selinux-policy-targetedmde-netfilter
• For RHEL6 kræver auditmdatp RPM-pakken , policycoreutils, , libselinuxmde-netfilter
• For DEBIAN kræver libc6 >= 2.23mdatp-pakken , uuid-runtime, , auditdmde-netfilter

Mde-netfilter-pakken har også følgende pakkeafhængigheder:

• For DEBIAN kræver libnetfilter-queue1mde-netfilter-pakken , libglib2.0-0
• For RPM kræver libmnlmde-netfilter-pakken , libnfnetlink, , libnetfilter_queueglib2

Installationen mislykkedes

Kontrollér, om Defender for Endpoint-tjenesten kører:

service mdatp status

 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

Trin til fejlfinding, hvis mdatp-tjenesten ikke kører

1. Kontrollér, om mdatp brugeren findes:

   id "mdatp"
   

   Hvis der ikke er noget output, skal du køre

   sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
   

2. Prøv at aktivere og genstarte tjenesten ved hjælp af:

   sudo service mdatp start
   

   sudo service mdatp restart
   

3. Hvis mdatp.service ikke blev fundet under kørsel af den forrige kommando, skal du køre:

   sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path> 
   

   hvor <systemd_path> er /lib/systemd/system for Ubuntu- og Debian-distributioner og /usr/lib/systemd/system' for Rhel, CentOS, Oracle og SLES. Kør derefter trin 2 igen.

4. Hvis ovenstående trin ikke fungerer, skal du kontrollere, om SELinux er installeret og i gennemtvingelsestilstand. Hvis det er tilfældet, kan du prøve at angive den til eftergivende (helst) eller deaktiveret tilstand. Det kan gøres ved at angive parameteren SELINUX til permissive eller disabled i /etc/selinux/config filen efterfulgt af genstart. Se se selinux'ens man-side for at få flere oplysninger. Prøv nu at genstarte mdatp-tjenesten ved hjælp af trin 2. Genindlæs konfigurationsændringen med det samme af sikkerhedsmæssige årsager, efter at du har prøvet den og genstartet.

5. Hvis /opt mappen er en symbolsk kæde, skal du oprette en bindingsforbindelse for /opt/microsoft.

6. Kontrollér, at daemon har eksekverbar tilladelse.

   ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
   

   -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   Hvis daemon ikke har eksekverbare tilladelser, skal du gøre den eksekverbar ved hjælp af:

   sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   og prøv at køre trin 2 igen.

7. Sørg for, at det filsystem, der indeholder wdavdaemon, ikke er tilsluttet med noexec.

Hvis Defender for Endpoint-tjenesten kører, men registreringen af EICAR-tekstfilen ikke virker

1. Kontrollér filtypen ved hjælp af:

   findmnt -T <path_of_EICAR_file>
   

   Filsystemer, der understøttes i øjeblikket til aktiviteter med adgang, er angivet her. Filer uden for disse filsystemer scannes ikke.

Kommandolinjeværktøjet mdatp fungerer ikke

1. Hvis kørsel af kommandolinjeværktøjet mdatp giver en fejl command not found, skal du køre følgende kommando:

   sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
   

   og prøv igen.

   Hvis ingen af ovenstående trin hjælper, skal du indsamle diagnosticeringslogfilerne:

   sudo mdatp diagnostic create
   

   Diagnostic file created: <path to file>
   

   Stien til en zip-fil, der indeholder loggene, vises som et output. Kontakt vores kundesupport med disse logge.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.