Behandeln von Installationsproblemen für Microsoft Defender for Endpoint unter Linux
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Überprüfen, ob die Installation erfolgreich war
Ein Fehler bei der Installation kann zu einer aussagekräftigen Fehlermeldung des Paket-Managers führen. Um zu überprüfen, ob die Installation erfolgreich war, rufen Sie die Installationsprotokolle ab, und überprüfen Sie sie mit:
sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log
grep 'postinstall end' installation.log
microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216
Eine Ausgabe des vorherigen Befehls mit dem richtigen Datum und der richtigen Uhrzeit der Installation zeigt den Erfolg an.
Überprüfen Sie auch die Clientkonfiguration , um die Integrität des Produkts zu überprüfen und die EICAR-Textdatei zu erkennen.
Stellen Sie sicher, dass Sie über das richtige Paket verfügen.
Vergewissern Sie sich, dass das Paket, das Sie installieren, der Hostverteilung und -version entspricht.
| package | Verteilung |
|---|---|
| mdatp-rhel8. Linux.x86_64.rpm | Oracle, RHEL und CentOS 8.x |
| mdatp-sles12. Linux.x86_64.rpm | SUSE Linux Enterprise Server 12.x |
| mdatp-sles15. Linux.x86_64.rpm | SUSE Linux Enterprise Server 15.x |
| mdatp. Linux.x86_64.rpm | Oracle, RHEL und CentOS 7.x |
| mdatp. Linux.x86_64.deb | Debian und Ubuntu 16.04, 18.04 und 20.04 |
Stellen Sie für die manuelle Bereitstellung sicher, dass die richtige Distribution und Version ausgewählt sind.
Hinweis
MDE Linux wird keine Lösung für RHEL 6 mehr bereitgestellt.
Fehler bei der Installation aufgrund eines Abhängigkeitsfehlers
Wenn die Microsoft Defender for Endpoint Installation aufgrund fehlender Abhängigkeitsfehler fehlschlägt, können Sie die erforderlichen Abhängigkeiten manuell herunterladen.
Die folgenden externen Paketabhängigkeiten sind für das mdatp-Paket vorhanden:
- Das mdatp-RPM-Paket erfordert
glibc >= 2.17,audit,policycoreutils,semanage, ,selinux-policy-targeted,mde-netfilter - Für DEBIAN erfordert
libc6 >= 2.23das mdatp-Paket ,uuid-runtime, ,auditdmde-netfilter
Das mde-netfilter-Paket verfügt außerdem über die folgenden Paketabhängigkeiten:
- Für DEBIAN erfordert
libnetfilter-queue1das mde-netfilter-Paket ,libglib2.0-0 - Für RPM erfordert
libmnldas mde-netfilter-Paket ,libnfnetlink, ,libnetfilter_queue,glib2
Fehler bei der Installation
Überprüfen Sie, ob der Defender für Endpunkt-Dienst ausgeführt wird:
service mdatp status
● mdatp.service - Microsoft Defender for Endpoint
Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
Main PID: 1966 (wdavdaemon)
Tasks: 105 (limit: 4915)
CGroup: /system.slice/mdatp.service
├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
└─1968 /opt/microsoft/mdatp/sbin/wdavdaemon
Schritte zur Problembehandlung, wenn der mdatp-Dienst nicht ausgeführt wird
Überprüfen Sie, ob
mdatpein Benutzer vorhanden ist:id "mdatp"Wenn keine Ausgabe vorhanden ist, führen Sie aus.
sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatpVersuchen Sie, den Dienst mithilfe von zu aktivieren und neu zu starten:
sudo service mdatp startsudo service mdatp restartWenn mdatp.service beim Ausführen des vorherigen Befehls nicht gefunden wird, führen Sie Folgendes aus:
sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path>wobei
<systemd_path>für Ubuntu- und Debian-Distributionen und /usr/lib/systemd/system' für Rhel, CentOS, Oracle und SLES steht/lib/systemd/system. Führen Sie dann Schritt 2 erneut aus.Wenn die oben genannten Schritte nicht funktionieren, überprüfen Sie, ob SELinux installiert ist und sich im Erzwingungsmodus befindet. Wenn ja, versuchen Sie, den Modus auf "Permissive" (vorzugsweise) oder "deaktiviert" festzulegen. Dazu können Sie den Parameter
SELINUXaufpermissiveoderdisabledin/etc/selinux/configder Datei festlegen, gefolgt von einem Neustart. Weitere Informationen finden Sie auf der Manpage von selinux. Versuchen Sie nun, den mdatp-Dienst mithilfe von Schritt 2 neu zu starten. Setzen Sie die Konfigurationsänderung jedoch aus Sicherheitsgründen sofort zurück, nachdem Sie sie ausprobiert und neu gestartet haben.Wenn
/optdas Verzeichnis eine symbolische Verknüpfung ist, erstellen Sie eine Bindungsbereitstellung für/opt/microsoft.Stellen Sie sicher, dass der Daemon über die Berechtigung für ausführbare Dateien verfügt.
ls -l /opt/microsoft/mdatp/sbin/wdavdaemon-rwxr-xr-x 2 root root 15502160 Mar 3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemonWenn der Daemon nicht über ausführbare Berechtigungen verfügt, legen Sie ihn mit folgendem Befehl als ausführbare Datei fest:
sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemonund wiederholen Sie die Ausführung von Schritt 2.
Stellen Sie sicher, dass das Dateisystem, das wdavdaemon enthält, nicht mit
noexeceingebunden ist.
Wenn der Defender für Endpunkt-Dienst ausgeführt wird, die EICAR-Textdateierkennung jedoch nicht funktioniert
Überprüfen Sie den Dateisystemtyp mit:
findmnt -T <path_of_EICAR_file>Derzeit unterstützte Dateisysteme für Zugriffsaktivitäten sind hier aufgeführt. Dateien außerhalb dieser Dateisysteme werden nicht gescannt.
Das Befehlszeilentool mdatp funktioniert nicht
Wenn beim Ausführen des Befehlszeilentools
mdatpein Fehlercommand not foundausgegeben wird, führen Sie den folgenden Befehl aus:sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatpund versuchen Sie es erneut.
Wenn keiner der oben genannten Schritte hilfreich ist, sammeln Sie die Diagnoseprotokolle:
sudo mdatp diagnostic createDiagnostic file created: <path to file>Der Pfad zu einer ZIP-Datei, die die Protokolle enthält, wird als Ausgabe angezeigt. Wenden Sie sich mit diesen Protokollen an unseren Kundensupport.
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.