Устранение неполадок с установкой для Microsoft Defender для конечной точки в Linux

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Убедитесь, что установка выполнена успешно

Ошибка при установке может привести к осмысленму сообщению об ошибке со стороны диспетчера пакетов. Чтобы проверить успешность установки, получите и проверка журналы установки с помощью:

 sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log
 grep 'postinstall end' installation.log
 microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

Выходные данные предыдущей команды с правильной датой и временем установки указывают на успешное выполнение.

Кроме того, проверка конфигурацию клиента для проверки работоспособности продукта и обнаружения текстового файла EICAR.

Убедитесь, что у вас есть правильный пакет

Убедитесь, что устанавливаемые пакеты соответствуют дистрибутиву узла и версии.



package Распространения
mdatp-rhel8. Linux.x86_64.rpm Oracle, RHEL и CentOS 8.x
mdatp-sles12. Linux.x86_64.rpm SUSE Linux Enterprise Server 12.x
mdatp-sles15. Linux.x86_64.rpm SUSE Linux Enterprise Server 15.x
mdatp. Linux.x86_64.rpm Oracle, RHEL и CentOS 7.x
mdatp. Linux.x86_64.deb Debian и Ubuntu 16.04, 18.04 и 20.04

Для развертывания вручную убедитесь, что выбраны правильный дистрибутив и версия.

Сбой установки из-за ошибки зависимости

Если установка Microsoft Defender для конечной точки завершается сбоем из-за отсутствующих зависимостей, можно вручную скачать необходимые зависимости.

Для пакета mdatp существуют следующие внешние зависимости пакета:

  • Пакет mdatp RPM требует glibc >= 2.17, audit, policycoreutils, semanage, selinux-policy-targeted, , . mde-netfilter
  • Для RHEL6 пакет mdatp RPM требует audit, policycoreutils, libselinux, mde-netfilter
  • Для DEBIAN пакет mdatp требует libc6 >= 2.23, uuid-runtime, auditd, mde-netfilter

Пакет mde-netfilter также имеет следующие зависимости пакета:

  • Для DEBIAN пакет mde-netfilter требует libnetfilter-queue1, libglib2.0-0
  • Для rpm пакет mde-netfilter требует libmnl, libnfnetlink, libnetfilter_queue, glib2

Сбой установки

Проверьте, запущена ли служба Defender для конечной точки:

service mdatp status
 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

Действия по устранению неполадок, если служба mdatp не запущена

  1. Проверьте, существует ли mdatp пользователь:

    id "mdatp"
    

    Если выходные данные отсутствуют, выполните команду

    sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
    
  2. Попробуйте включить и перезапустить службу с помощью следующих средств:

    sudo service mdatp start
    
    sudo service mdatp restart
    
  3. Если mdatp.service не найден при выполнении предыдущей команды, выполните следующую команду:

    sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path> 
    

    где <systemd_path>/lib/systemd/system для дистрибутивов Ubuntu и Debian и /usr/lib/systemd/system' для Rhel, CentOS, Oracle и SLES. Затем повторно выполните шаг 2.

  4. Если описанные выше действия не поработают, проверка, установлен ли SELinux и в режиме принудительного применения. Если это так, попробуйте установить для него разрешительный (предпочтительно) или отключенный режим. Это можно сделать, задав параметру SELINUX значение permissive или disabled в /etc/selinux/config файле, а затем перезагрузить. Дополнительные сведения см. на главной странице selinux. Теперь попробуйте перезапустить службу mdatp с помощью шага 2. Отмените изменение конфигурации немедленно, хотя по соображениям безопасности после попытки и перезагрузки.

  5. Если /opt каталог является символьной ссылкой, создайте подключение привязки для /opt/microsoft.

  6. Убедитесь, что управляющая программа имеет разрешение на выполнение.

    ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
    
    -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
    

    Если управляющая программа не имеет разрешений на выполнение, сделайте ее исполняемой с помощью:

    sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
    

    и повторите попытку, выполнив шаг 2.

  7. Убедитесь, что файловая система, содержащая wdavdaemon, не подключена к noexec.

Если служба Defender для конечной точки запущена, но обнаружение текстовых файлов EICAR не работает

  1. Проверьте тип файловой системы, используя:

    findmnt -T <path_of_EICAR_file>
    

    Здесь перечислены поддерживаемые в настоящее время файловые системы для действий при доступе. Все файлы за пределами этих файловой системы не проверяются.

Средство командной строки mdatp не работает

  1. Если при запуске программы mdatp командной строки возникает ошибка command not found, выполните следующую команду:

    sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
    

    и повторите попытку.

    Если ни одно из описанных выше действий не поможет, соберите журналы диагностики:

    sudo mdatp diagnostic create
    
    Diagnostic file created: <path to file>
    

    Путь к ZIP-файлу, который содержит журналы, отображается в виде выходных данных. Обратитесь в службу поддержки клиентов с помощью этих журналов.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.