Feilsøke installasjonsproblemer for Microsoft Defender for endepunkt på Linux
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft 365 Defender
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Kontroller at installasjonen var vellykket
En feil i installasjonen kan eller kan føre til en meningsfull feilmelding fra pakkebehandlingen. Hvis du vil kontrollere om installasjonen var vellykket, kan du hente og kontrollere installasjonsloggene ved hjelp av:
sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log
grep 'postinstall end' installation.log
microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216
Utdata fra den forrige kommandoen med riktig dato og klokkeslett for installasjonen indikerer suksess.
Kontroller også klientkonfigurasjonen for å bekrefte tilstanden til produktet og oppdage EICAR-tekstfilen.
Kontroller at du har riktig pakke
Kontroller at pakken du installerer samsvarer med vertsdistribusjonen og -versjonen.
Pakken | Distribusjon |
---|---|
mdatp-rhel8. Linux.x86_64.rpm | Oracle, RHEL og CentOS 8.x |
mdatp-sles12. Linux.x86_64.rpm | SUSE Linux Enterprise Server 12.x |
mdatp-sles15. Linux.x86_64.rpm | SUSE Linux Enterprise Server 15.x |
mdatp. Linux.x86_64.rpm | Oracle, RHEL og CentOS 7.x |
mdatp. Linux.x86_64.deb | Debian og Ubuntu 16.04, 18.04 og 20.04 |
For manuell distribusjon må du kontrollere at riktig distro og versjon er valgt.
Installasjonen mislyktes på grunn av avhengighetsfeil
Hvis Microsoft Defender for endepunkt installasjonen mislykkes på grunn av manglende avhengighetsfeil, kan du laste ned de nødvendige avhengighetene manuelt.
Følgende avhengigheter for eksterne pakker finnes for mdatp-pakken:
- Mdatp RPM-pakken krever «glibc >= 2.17», «audit», «policycoreutils», «semanage», «selinux-policy-targeted», «mde-netfilter»
- For RHEL6 krever mdatp RPM-pakken «audit», «policycoreutils», «libselinux», «mde-netfilter»
- For DEBIAN krever mdatp-pakken «libc6 >= 2.23», «uuid-runtime», «auditd», «mde-netfilter»
MDE-netfilter-pakken har også følgende pakkeavhengigheter:
- For DEBIAN krever mde-netfilter-pakken "libnetfilter-queue1", "libglib2.0-0"
- For RPM krever mde-netfilter-pakken "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
Installasjonen mislyktes
Kontroller om Defender for Endpoint-tjenesten kjører:
service mdatp status
● mdatp.service - Microsoft Defender for Endpoint
Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
Main PID: 1966 (wdavdaemon)
Tasks: 105 (limit: 4915)
CGroup: /system.slice/mdatp.service
├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
└─1968 /opt/microsoft/mdatp/sbin/wdavdaemon
Fremgangsmåte for å feilsøke hvis mdatp-tjenesten ikke kjører
Kontroller om mdatp-brukeren finnes:
id "mdatp"
Hvis det ikke er noen utdata, kjører du
sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
Prøv å aktivere og starte tjenesten på nytt ved hjelp av:
sudo service mdatp start
sudo service mdatp restart
Hvis mdatp.service ikke blir funnet når du kjører den forrige kommandoen, kjører du:
sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path>
hvor
<systemd_path>
er/lib/systemd/system
for Ubuntu- og Debian-distribusjoner og /usr/lib/systemd/system' for Rhel, CentOS, Oracle og SLES. Kjør deretter trinn 2 på nytt.Hvis trinnene ovenfor ikke fungerer, kontrollerer du om SELinux er installert og i aktiveringsmodus. I så fall kan du prøve å sette den til tillatt (fortrinnsvis) eller deaktivert modus. Det kan gjøres ved å angi parameteren
SELINUX
til «tillatt» eller «deaktivert» i/etc/selinux/config
filen, etterfulgt av omstart. Se på mann-siden i selinux for mer informasjon. Prøv å starte mdatp-tjenesten på nytt ved hjelp av trinn 2. Gjenopprett konfigurasjonsendringen umiddelbart, men av sikkerhetsårsaker etter at du har prøvd den og startet på nytt.Hvis
/opt
katalogen er en symbolsk kobling, oppretter du en bind-montering for/opt/microsoft
.Kontroller at daemonen har kjørbar tillatelse.
ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
-rwxr-xr-x 2 root root 15502160 Mar 3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
Hvis daemonen ikke har kjørbare tillatelser, gjør du den kjørbar ved hjelp av:
sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
og prøv å kjøre trinn 2 på nytt.
Kontroller at filsystemet som inneholder wdavdaemon ikke er montert med noexec.
Hvis Defender for Endpoint-tjenesten kjører, men gjenkjenning av EICAR-tekstfiler ikke fungerer
Kontroller filtypen ved hjelp av:
findmnt -T <path_of_EICAR_file>
For øyeblikket er støttede filsystemer for tilgangsaktivitet oppført her. Filer utenfor disse filsystemene skannes ikke.
Kommandolinjeverktøyet «mdatp» fungerer ikke
Hvis det å kjøre kommandolinjeverktøyet
mdatp
gir en feilcommand not found
, kjører du følgende kommando:sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
og prøv på nytt.
Hvis ingen av trinnene ovenfor hjelper, samler du inn diagnoseloggene:
sudo mdatp diagnostic create
Diagnostic file created: <path to file>
Banen til en ZIP-fil som inneholder loggene, vises som utdata. Ta kontakt med kundestøtten vår med disse loggene.
Tips
Vil du lære mer? Kommunmuner deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for endepunkt teknisk fellesskap.