Microsoft Defender for Endpoint Linux-asennusongelmien vianmääritys

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Varmista, että asennus onnistui

Asennuksen virhe saattaa aiheuttaa tai ei ehkä aiheuta merkityksellistä virhesanomaa paketinhallinnasta. Voit tarkistaa, onnistuiko asennus, hankkimalla asennuslokit ja tarkistamalla ne seuraavasti:

 sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log

 grep 'postinstall end' installation.log

 microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

Edellisen komennon tuloste, jossa on oikea asennuspäivämäärä ja -kellonaika, osoittaa onnistumisen.

Tarkista myös Asiakkaan määritykset tuotteen kunnon varmistamiseksi ja eiCAR-tekstitiedoston havaitsemiseksi.

Varmista, että sinulla on oikea paketti

Varmista, että asentamasi paketti vastaa isäntien jakelua ja versiota.

---

Paketti	Jakelu
mdatp-rhel8. Linux.x86_64.rpm	Oracle, RHEL ja CentOS 8.x
mdatp-sles12. Linux.x86_64.rpm	SUSE Linux Enterprise Server 12.x
mdatp-sles15. Linux.x86_64.rpm	SUSE Linux Enterprise Server 15.x
mdatp. Linux.x86_64.rpm	Oracle, RHEL ja CentOS 7.x
mdatp. Linux.x86_64.deb	Debian ja Ubuntu 16.04, 18.04 ja 20.04

Varmista manuaalista käyttöönottoa varten, että oikea distro ja versio on valittuna.

Asennus epäonnistui riippuvuusvirheen vuoksi

Jos Microsoft Defender for Endpoint asennus epäonnistuu puuttuvien riippuvuusvirheiden vuoksi, voit ladata edellytettävät riippuvuudet manuaalisesti.

Mdatp-paketille on seuraavat ulkoisen paketin riippuvuudet:

• Mdatp RPM -paketti edellyttää glibc >= 2.17, audit, policycoreutils, semanage, , selinux-policy-targetedmde-netfilter
• RHEL6:lle mdatp RPM -paketti edellyttää audit, policycoreutils, , libselinuxmde-netfilter
• DEBIAN-parametria varten mdatp-paketti edellyttää libc6 >= 2.23: , uuid-runtime, auditdmde-netfilter

mde-netfilter-paketilla on myös seuraavat pakettiriippuvuudet:

• DEBIAN-parametrille mde-netfilter-paketti edellyttää :libnetfilter-queue1libglib2.0-0
• RPM:ssä mde-netfilter-paketti edellyttää libmnl, libnfnetlink, , libnetfilter_queueglib2

Asennus epäonnistui

Tarkista, onko Defender for Endpoint -palvelu käynnissä:

service mdatp status

 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

Vaiheet vianmääritykseen, jos mdatp-palvelu ei ole käynnissä

1. Tarkista, onko mdatp käyttäjää olemassa:

   id "mdatp"
   

   Jos tulostetta ei ole, suorita

   sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
   

2. Yritä ottaa palvelu käyttöön ja käynnistää se uudelleen käyttämällä seuraavia:

   sudo service mdatp start
   

   sudo service mdatp restart
   

3. Jos mdatp.service-palvelua ei löydy edellisen komennon suorittamisen yhteydessä, suorita:

   sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path> 
   

   missä <systemd_path> on /lib/systemd/system Ubuntu- ja Debian-jakaumia varten ja /usr/lib/systemd/system' Rhel-, CentOS-, Oracle- ja SLES-jakeluille. Suorita sitten vaihe 2 uudelleen.

4. Jos yllä olevat vaiheet eivät toimi, tarkista, onko SELinux asennettu ja pakotustilassa. Jos on, kokeile määrittää se sallivaksi (mieluiten) tai käytöstä poistetuksi tilaksi. Se voidaan tehdä määrittämällä parametri SELINUX tiedostoon permissive tai disabled tiedostoon /etc/selinux/config , minkä jälkeen voit käynnistää sen uudelleen. Katso lisätietoja selinux'n miessivulta. Yritä nyt käynnistää mdatp-palvelu uudelleen vaiheessa 2. Palauta määrityksen muutos heti suojaussyistä sen kokeilemisen ja uudelleenkäynnistyksen jälkeen.

5. Jos /opt hakemisto on symbolinen linkki, luo sidontakiinnitys hakemistolle /opt/microsoft.

6. Varmista, että daemonin käyttöoikeudet ovat suoritettavat.

   ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
   

   -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   Jos daemonilla ei ole suoritettavia oikeuksia, tee siitä suoritettava:

   sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   ja yritä suorittaa vaihe 2 uudelleen.

7. Varmista, että wdavdaemon-tiedostojärjestelmää ei ole otettu käyttöön toiminnolla noexec.

Jos Defender for Endpoint -palvelu on käynnissä, mutta EICAR-tekstitiedoston tunnistus ei toimi

1. Tarkista tiedostojärjestelmän tyyppi seuraavasti:

   findmnt -T <path_of_EICAR_file>
   

   Tuetut tiedostojärjestelmät on-access-toimintoja varten on lueteltu täällä. Näiden tiedostojärjestelmien ulkopuolisia tiedostoja ei skannata.

Komentorivityökalun mdatp ei toimi

1. Jos komentorivityökalun mdatp suorittaminen aiheuttaa virheen command not found, suorita seuraava komento:

   sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
   

   ja yritä uudelleen.

   Jos mikään edellä mainituista vaiheista ei auta, kerää diagnostiikkalokit:

   sudo mdatp diagnostic create
   

   Diagnostic file created: <path to file>
   

   Lokit sisältävän zip-tiedoston polku näytetään tuloksena. Ota yhteyttä asiakastukeen näiden lokien avulla.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.