Rozwiązywanie problemów z Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux RHEL6
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Ważna
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Ten artykuł zawiera wskazówki dotyczące rozwiązywania problemów z Microsoft Defender dla systemu Linux w systemie Red Hat Linux 6 (RHEL 6) lub nowszym.
Po zainstalowaniu pakietu (mdatp_XXX.XX.XX.XX.x86_64.rpm) wykonaj podane akcje, aby sprawdzić, czy instalacja zakończyła się pomyślnie.
Sprawdzanie kondycji usługi
Użyj następującego polecenia, aby sprawdzić kondycję usługi:
mdatp health
Sprawdź, czy usługa jest uruchomiona
Użyj następującego polecenia, aby sprawdzić, czy usługa jest uruchomiona:
service mdatp status
Oczekiwane dane wyjściowe: mdatp start/running, process 4517
Weryfikowanie wersji dystrybucji i jądra
Wersje dystrybucji i jądra powinny znajdować się na obsługiwanej liście.
Użyj następującego polecenia, aby uzyskać wersję dystrybucji:
cat /etc/redhat-release (or /etc/system-release)
Użyj następującego polecenia, aby uzyskać wersję jądra:
uname -r
Sprawdzanie, czy proces mdatp audisp jest uruchomiony
Oczekiwane dane wyjściowe są takie, że proces jest uruchomiony.
Użyj następującego polecenia, aby sprawdzić:
pidof mdatp_audisp_plugin
Sprawdzanie modułów TALPA
Powinno być załadowanych dziewięć modułów.
Użyj następującego polecenia, aby sprawdzić:
lsmod | grep talpa
Oczekiwane dane wyjściowe: włączone
talpa_pedconnector 878 0
talpa_pedevice 5189 2 talpa_pedconnector
talpa_vfshook 32300 1
talpa_vcdevice 4947 1
talpa_syscall 9127 0
talpa_core 90699 4 talpa_vfshook,talpa_vcdevice,talpa_syscall
talpa_linux 29424 5 talpa_vfshook,talpa_vcdevice,talpa_syscall,talpa_core
talpa_syscallhookprobe 882 0
talpa_syscallhook 14987 2 talpa_vfshook,talpa_syscallhookprobe
lsmod | grep talpa | wc -l
Oczekiwane dane wyjściowe: 9
Sprawdzanie stanu TALPA
cat /proc/sys/talpa/interceptors/VFSHookInterceptor/status
Debugowanie plików dziennika (oprócz pakietu "mdatp diagnostic create")
/var/log/audit/audit.log
/var/log/messages
semanage fcontext -l > selinux.log
Wydajność i pamięć
top -p <wdavdaemon pid>
pmap -x <wdavdaemon pid>
Gdzie <wdavdaemon pid> można znaleźć za pomocą polecenia pidof wdavdaemon.
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla