Устранение неполадок с установкой для Microsoft Defender для конечной точки в Linux
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Убедитесь, что установка выполнена успешно
Ошибка при установке может привести к осмысленму сообщению об ошибке со стороны диспетчера пакетов. Чтобы проверить успешность установки, получите и проверка журналы установки с помощью:
sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log
grep 'postinstall end' installation.log
microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216
Выходные данные предыдущей команды с правильной датой и временем установки указывают на успешное выполнение.
Кроме того, проверка конфигурацию клиента для проверки работоспособности продукта и обнаружения текстового файла EICAR.
Убедитесь, что у вас есть правильный пакет
Убедитесь, что устанавливаемые пакеты соответствуют дистрибутиву узла и версии.
| package | Распространения |
|---|---|
| mdatp-rhel8. Linux.x86_64.rpm | Oracle, RHEL и CentOS 8.x |
| mdatp-sles12. Linux.x86_64.rpm | SUSE Linux Enterprise Server 12.x |
| mdatp-sles15. Linux.x86_64.rpm | SUSE Linux Enterprise Server 15.x |
| mdatp. Linux.x86_64.rpm | Oracle, RHEL и CentOS 7.x |
| mdatp. Linux.x86_64.deb | Debian и Ubuntu 16.04, 18.04 и 20.04 |
Для развертывания вручную убедитесь, что выбраны правильный дистрибутив и версия.
Сбой установки из-за ошибки зависимости
Если установка Microsoft Defender для конечной точки завершается сбоем из-за отсутствующих зависимостей, можно вручную скачать необходимые зависимости.
Для пакета mdatp существуют следующие внешние зависимости пакета:
- Пакет mdatp RPM требует
glibc >= 2.17,audit,policycoreutils,semanage,selinux-policy-targeted, , .mde-netfilter - Для RHEL6 пакет mdatp RPM требует
audit,policycoreutils,libselinux,mde-netfilter - Для DEBIAN пакет mdatp требует
libc6 >= 2.23,uuid-runtime,auditd,mde-netfilter
Пакет mde-netfilter также имеет следующие зависимости пакета:
- Для DEBIAN пакет mde-netfilter требует
libnetfilter-queue1,libglib2.0-0 - Для rpm пакет mde-netfilter требует
libmnl,libnfnetlink,libnetfilter_queue,glib2
Сбой установки
Проверьте, запущена ли служба Defender для конечной точки:
service mdatp status
● mdatp.service - Microsoft Defender for Endpoint
Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
Main PID: 1966 (wdavdaemon)
Tasks: 105 (limit: 4915)
CGroup: /system.slice/mdatp.service
├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
└─1968 /opt/microsoft/mdatp/sbin/wdavdaemon
Действия по устранению неполадок, если служба mdatp не запущена
Проверьте, существует ли
mdatpпользователь:id "mdatp"Если выходные данные отсутствуют, выполните команду
sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatpПопробуйте включить и перезапустить службу с помощью следующих средств:
sudo service mdatp startsudo service mdatp restartЕсли mdatp.service не найден при выполнении предыдущей команды, выполните следующую команду:
sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path>где
<systemd_path>—/lib/systemd/systemдля дистрибутивов Ubuntu и Debian и /usr/lib/systemd/system' для Rhel, CentOS, Oracle и SLES. Затем повторно выполните шаг 2.Если описанные выше действия не поработают, проверка, установлен ли SELinux и в режиме принудительного применения. Если это так, попробуйте установить для него разрешительный (предпочтительно) или отключенный режим. Это можно сделать, задав параметру
SELINUXзначениеpermissiveилиdisabledв/etc/selinux/configфайле, а затем перезагрузить. Дополнительные сведения см. на главной странице selinux. Теперь попробуйте перезапустить службу mdatp с помощью шага 2. Отмените изменение конфигурации немедленно, хотя по соображениям безопасности после попытки и перезагрузки.Если
/optкаталог является символьной ссылкой, создайте подключение привязки для/opt/microsoft.Убедитесь, что управляющая программа имеет разрешение на выполнение.
ls -l /opt/microsoft/mdatp/sbin/wdavdaemon-rwxr-xr-x 2 root root 15502160 Mar 3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemonЕсли управляющая программа не имеет разрешений на выполнение, сделайте ее исполняемой с помощью:
sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemonи повторите попытку, выполнив шаг 2.
Убедитесь, что файловая система, содержащая wdavdaemon, не подключена к
noexec.
Если служба Defender для конечной точки запущена, но обнаружение текстовых файлов EICAR не работает
Проверьте тип файловой системы, используя:
findmnt -T <path_of_EICAR_file>Здесь перечислены поддерживаемые в настоящее время файловые системы для действий при доступе. Все файлы за пределами этих файловой системы не проверяются.
Средство командной строки mdatp не работает
Если при запуске программы
mdatpкомандной строки возникает ошибкаcommand not found, выполните следующую команду:sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatpи повторите попытку.
Если ни одно из описанных выше действий не поможет, соберите журналы диагностики:
sudo mdatp diagnostic createDiagnostic file created: <path to file>Путь к ZIP-файлу, который содержит журналы, отображается в виде выходных данных. Обратитесь в службу поддержки клиентов с помощью этих журналов.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по