次の方法で共有

Linux RHEL6 でのMicrosoft Defender for Endpointに関する問題のトラブルシューティング

  • [アーティクル]

適用対象:

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

この記事では、Microsoft Defender for Linux on Red Hat Linux 6 (RHEL 6) 以降で発生する可能性がある問題のトラブルシューティング方法について説明します。

パッケージ (mdatp_XXX.XX.XX.XX.x86_64.rpm) がインストールされたら、インストールが成功したことを確認するために指定されたアクションを実行します。

サービスの正常性を確認する

サービスの正常性をチェックするには、次のコマンドを使用します。

mdatp health

サービスが実行されていることを確認する

次のコマンドを使用して、サービスが実行されていることを確認します。

service mdatp status

予期される出力: mdatp start/running, process 4517

ディストリビューションとカーネルのバージョンを確認する

ディストリビューションとカーネルのバージョンは、サポートされている一覧に含める必要があります。

配布バージョンを取得するには、次のコマンドを使用します。

cat /etc/redhat-release (or /etc/system-release)

カーネル バージョンを取得するには、次のコマンドを使用します。

uname -r

mdatp audisp プロセスが実行されているかどうかを確認する

予想される出力は、プロセスが実行されていることです。

次のコマンドを使用して、チェックします。

pidof mdatp_audisp_plugin

TALPA モジュールを確認する

9 つのモジュールが読み込まれている必要があります。

次のコマンドを使用して、チェックします。

lsmod | grep talpa

予想される出力: 有効

talpa_pedconnector       878  0 

talpa_pedevice          5189  2 talpa_pedconnector 

talpa_vfshook          32300  1 

talpa_vcdevice          4947  1 

talpa_syscall           9127  0 

talpa_core             90699  4 talpa_vfshook,talpa_vcdevice,talpa_syscall 

talpa_linux            29424  5 talpa_vfshook,talpa_vcdevice,talpa_syscall,talpa_core 

talpa_syscallhookprobe      882  0 

talpa_syscallhook      14987  2 talpa_vfshook,talpa_syscallhookprobe 

lsmod | grep talpa | wc -l

予想される出力: 9

TALPA の状態を確認する

cat /proc/sys/talpa/interceptors/VFSHookInterceptor/status

ログ ファイルのデバッグ ('mdatp 診断作成' バンドルとは別)

/var/log/audit/audit.log 

/var/log/messages 

semanage fcontext -l > selinux.log

パフォーマンスとメモリ

top -p <wdavdaemon pid>      

pmap -x <wdavdaemon pid>

<wdavdaemon pid> 使用して場所を pidof wdavdaemon確認できます。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。