Linux でのMicrosoft Defender for Endpointのインストールに関する問題のトラブルシューティング

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

インストールが成功したことを確認する

インストール時にエラーが発生すると、パッケージ マネージャーによって意味のあるエラー メッセージが表示される場合とそうでない場合があります。 インストールが成功したかどうかを確認するには、次を使用してインストール ログを取得して確認します。

 sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log
 grep 'postinstall end' installation.log
 microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

インストールの日時が正しい前のコマンドからの出力は、成功を示します。

また、 クライアント構成 を調べて製品の正常性を確認し、EICAR テキスト ファイルを検出します。

正しいパッケージがあることを確認します

インストールするパッケージがホストの配布とバージョンと一致することを確認します。



package 配布
mdatp-rhel8。Linux.x86_64.rpm Oracle、RHEL、CentOS 8.x
mdatp-sles12。Linux.x86_64.rpm SUSE Linux Enterprise Server 12.x
mdatp-sles15.Linux.x86_64.rpm SUSE Linux Enterprise Server 15.x
mdatp。Linux.x86_64.rpm Oracle、RHEL、CentOS 7.x
mdatp。Linux.x86_64.deb Debian と Ubuntu 16.04、18.04、20.04

手動デプロイの場合は、適切なディストリビューションとバージョンが選択されていることを確認します。

依存関係エラーが原因でインストールに失敗しました

依存関係エラーが見つからないためにMicrosoft Defender for Endpointのインストールが失敗した場合は、前提条件の依存関係を手動でダウンロードできます。

mdatp パッケージには、次の外部パッケージの依存関係があります。

  • mdatp RPM パッケージには、"glibc >= 2.17"、"audit"、"policycoreutils"、"semanage"、"selinux-policy-targeted"、"mde-netfilter" が必要です。
  • RHEL6 の場合、mdatp RPM パッケージには "audit"、"policycoreutils"、"libselinux"、"mde-netfilter" が必要です
  • DEBIAN の場合、mdatp パッケージには "libc6 >= 2.23"、"uuid-runtime"、"auditd"、"mde-netfilter" が必要です

mde-netfilter パッケージには、次のパッケージの依存関係もあります。

  • DEBIAN の場合、mde-netfilter パッケージには "libnetfilter-queue1"、"libglib2.0-0" が必要です
  • RPM の場合、mde-netfilter パッケージには "libmnl"、"libnfnetlink"、"libnetfilter_queue"、"glib2" が必要です

インストールに失敗しました

Defender for Endpoint サービスが実行されているかどうかを確認します。

service mdatp status
 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

mdatp サービスが実行されていない場合のトラブルシューティング手順

  1. "mdatp" ユーザーが存在するかどうかを確認します。

    id "mdatp"
    

    出力がない場合は、

    sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
    
  2. 次を使用して、サービスを有効にして再起動してみてください。

    sudo service mdatp start
    
    sudo service mdatp restart
    
  3. 前のコマンドの実行時に mdatp.service が見つからない場合は、次を実行します。

    sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path> 
    

    <systemd_path> Ubuntu ディストリビューションと Debian ディストリビューション用であり、Rhel、CentOS、Oracle、SLES の場合は /lib/systemd/system /usr/lib/systemd/system' です。 次に、手順 2 を再実行します。

  4. 上記の手順が機能しない場合は、SELinux がインストールされていて、適用モードになっているかどうかを確認します。 その場合は、許容モード (できれば) または無効モードに設定してみてください。 これは、ファイルでパラメーター SELINUX を "許可" または "無効" に設定し、その後に /etc/selinux/config 再起動することで実行できます。 詳細については、selinux の man-page を確認してください。 次に、手順 2 を使用して mdatp サービスを再起動してみてください。 構成の変更を試みて再起動した後、セキュリティ上の理由から、構成の変更を直ちに元に戻します。

  5. ディレクトリがシンボリック リンクの場合 /opt は、 のバインド マウントを作成します /opt/microsoft

  6. デーモンに実行可能アクセス許可があることを確認します。

    ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
    
    -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
    

    デーモンに実行可能なアクセス許可がない場合は、次を使用して実行可能にします。

    sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
    

    手順 2 を実行して再試行します。

  7. wdavdaemon を含むファイル システムが "noexec" でマウントされていないことを確認します。

Defender for Endpoint サービスが実行されているが、EICAR テキスト ファイルの検出が機能しない場合

  1. 次を使用して、ファイル システムの種類を確認します。

    findmnt -T <path_of_EICAR_file>
    

    オンアクセス アクティビティで現在サポートされているファイル システムを次に示 します。 これらのファイル システムの外部にあるファイルはスキャンされません。

コマンド ライン ツール "mdatp" が動作しない

  1. コマンド ライン ツール mdatp を実行するとエラー command not foundが発生する場合は、次のコマンドを実行します。

    sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
    

    もう一度やり直してください。

    上記の手順で問題が解決しない場合は、診断ログを収集します。

    sudo mdatp diagnostic create
    
    Diagnostic file created: <path to file>
    

    ログを含む zip ファイルへのパスが出力として表示されます。 これらのログを使用して、カスタマー サポートにお問い合わせください。