Microsoft Defender for Endpoint Linux-asennusongelmien vianmääritys

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 2
• Microsoft 365 Defender

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Varmista, että asennus onnistui

Asennuksen virhe saattaa aiheuttaa tai olla aiheuttamatta merkityksellistä virhesanomaa paketinhallinnalle. Voit tarkistaa, onnistuiko asennus, hankkimalla asennuslokit ja tarkistamalla ne seuraavasti:

 sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log

 grep 'postinstall end' installation.log

 microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

Edellisen komennon tuloste, jossa on oikea asennuspäivämäärä ja -kellonaika, osoittaa onnistumisen.

Tarkista myös Asiakkaan määritykset tuotteen kunnon varmistamiseksi ja eiCAR-tekstitiedoston havaitsemiseksi.

Varmista, että sinulla on oikea paketti

Varmista, että asentamasi paketti vastaa isäntien jakelua ja versiota.

---

Paketti	Jakelu
mdatp-rhel8. Linux.x86_64.rpm	Oracle, RHEL ja CentOS 8.x
mdatp-sles12. Linux.x86_64.rpm	SUSE Linux Enterprise Server 12.x
mdatp-sles15. Linux.x86_64.rpm	SUSE Linux Enterprise Server 15.x
mdatp. Linux.x86_64.rpm	Oracle, RHEL ja CentOS 7.x
mdatp. Linux.x86_64.deb	Debian ja Ubuntu 16.04, 18.04 ja 20.04

Varmista manuaalista käyttöönottoa varten, että oikea distro ja versio on valittu.

Asennus epäonnistui riippuvuusvirheen vuoksi

Jos Microsoft Defender for Endpoint asennus epäonnistuu puuttuvien riippuvuusvirheiden vuoksi, voit ladata riippuvuudet manuaalisesti.

Mdatp-paketille on seuraavat ulkoisen paketin riippuvuudet:

• Mdatp RPM -paketti edellyttää "glibc >= 2.17", "audit", "policycoreutils", "semanage", "selinux-policy-targeted", "mde-netfilter"
• RHEL6:lle mdatp RPM -paketti edellyttää "audit", "policycoreutils", "libselinux", "mde-netfilter"
• DEBIAN-kohteelle mdatp-paketti vaatii "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"

mde-netfilter-paketilla on myös seuraavat pakettiriippuvuudet:

• DEBIAN-kohteelle mde-netfilter-paketti edellyttää "libnetfilter-queue1", "libglib2.0-0"
• RPM:n mde-netfilter-paketti edellyttää "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"

Asennus epäonnistui

Tarkista, onko Defender for Endpoint -palvelu käynnissä:

service mdatp status

 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

Vaiheet vianmääritykseen, jos mdatp-palvelu ei ole käynnissä

1. Tarkista, onko mdatp-käyttäjä olemassa:

   id "mdatp"
   

   Jos tulostetta ei ole, suorita

   sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
   

2. Yritä ottaa palvelu käyttöön ja käynnistää se uudelleen käyttämällä seuraavia:

   sudo service mdatp start
   

   sudo service mdatp restart
   

3. Jos mdatp.service-palvelua ei löydy edellisen komennon suorittamisen yhteydessä, suorita:

   sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path> 
   

   missä <systemd_path> on /lib/systemd/system tarkoitettu Ubuntu- ja Debian-jakaumoille ja /usr/lib/systemd/system' Rhel-, CentOS-, Oracle- ja SLES-muodoille. Suorita sitten vaihe 2 uudelleen.

4. Jos yllä olevat vaiheet eivät toimi, tarkista, onko SELinux asennettu ja pakotustilassa. Jos on, kokeile määrittää se sallivaksi (mieluiten) tai käytöstä poistetuksi tilaksi. Se voidaan tehdä määrittämällä parametriksi SELINUX "salliva" tai "poistettu käytöstä" tiedostossa /etc/selinux/config , minkä jälkeen voit käynnistää sen uudelleen. Katso lisätietoja selinux'n miessivulta. Yritä nyt käynnistää mdatp-palvelu uudelleen vaiheessa 2. Palauta määrityksen muutos heti suojaussyistä sen kokeilemisen ja uudelleenkäynnistyksen jälkeen.

5. Jos /opt hakemisto on symbolinen linkki, luo sidontakiinnitys hakemistolle /opt/microsoft.

6. Varmista, että daemonin käyttöoikeudet ovat suoritettavat.

   ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
   

   -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   Jos daemonilla ei ole suoritettavia oikeuksia, tee siitä suoritettava:

   sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   ja yritä suorittaa vaihe 2 uudelleen.

7. Varmista, että wdavdaemon-tiedostojärjestelmää ei ole otettu käyttöön "noexec"-kohteella.

Jos Defender for Endpoint -palvelu on käynnissä, mutta EICAR-tekstitiedoston tunnistus ei toimi

1. Tarkista tiedostojärjestelmän tyyppi seuraavasti:

   findmnt -T <path_of_EICAR_file>
   

   Tuetut tiedostojärjestelmät on-access-toimintoja varten on lueteltu täällä. Näiden tiedostojärjestelmien ulkopuolisia tiedostoja ei skannata.

Komentorivityökalu "mdatp" ei toimi

1. Jos komentorivityökalun mdatp suorittaminen aiheuttaa virheen command not found, suorita seuraava komento:

   sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
   

   ja yritä uudelleen.

   Jos mikään edellä mainituista vaiheista ei auta, kerää diagnostiikkalokit:

   sudo mdatp diagnostic create
   

   Diagnostic file created: <path to file>
   

   Lokit sisältävän zip-tiedoston polku näytetään tulosteena. Ota yhteyttä asiakastukeen näiden lokien avulla.