Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Den här artikeln innehåller resurser för att lösa problem eller konfigurera Microsoft Defender för Endpoint i Linux. Den här artikeln beskriver hur du samlar in diagnostikinformation, loggar installationsproblem och konfigurerar Defender för Endpoint på Linux med hjälp av kommandoraden. Den här artikeln beskriver också hur du avinstallerar Defender för Endpoint i Linux.
Samla in diagnostikinformation
Tips
Kör Defender för Endpoint-klientanalyseraren med livesvar eller lokalt på enheten för att samla in diagnostikinformation från Defender för Endpoint i Linux.
Om du kan återskapa ett problem ökar du först loggningsnivån, kör systemet under en viss tid och återställer sedan loggningsnivån till standardnivån.
Öka loggningsnivån:
mdatp log level set --level debugLog level configured successfullyÅterskapa problemet.
Kör följande kommando för att säkerhetskopiera Loggarna för Defender för Endpoint. Filerna lagras i ett .zip arkiv.
sudo mdatp diagnostic createDet här kommandot skriver också ut filsökvägen till säkerhetskopian när åtgärden har slutförts:
Diagnostic file created: <path to file>Återställ loggningsnivå:
mdatp log level set --level infoLog level configured successfully
Problem med logginstallation
Om ett fel inträffar under installationen rapporterar installationsprogrammet endast ett allmänt fel.
Den detaljerade loggen sparas i /var/log/microsoft/mdatp/install.log.
Om du får problem under installationen skickar du den här filen till oss så att vi kan hjälpa till att diagnostisera orsaken.
Konfigurera från kommandoraden
Viktiga uppgifter, till exempel att kontrollera produktinställningar och utlösa genomsökningar på begäran, kan utföras från kommandoraden.
Globala alternativ
Som standard matar kommandoradsverktyget ut resultatet i läsbart format. Dessutom har verktyget även stöd för att mata ut resultatet som JSON, vilket är användbart för automatiseringsscenarier. Om du vill ändra utdata till JSON skickar du --output json till något av kommandona nedan.
Kommandon som stöds
I följande tabell visas kommandon för några av de vanligaste scenarierna. Kör mdatp help från terminalen för att visa den fullständiga listan över kommandon som stöds.
| Grupp | Scenario | Kommando |
|---|---|---|
| Konfiguration | Aktivera/inaktivera realtidsskydd | mdatp config real-time-protection --value [enabled\|disabled] |
| Konfiguration | Aktivera/inaktivera beteendeövervakning | mdatp config behavior-monitoring --value [enabled\|disabled] |
| Konfiguration | Aktivera/inaktivera molnskydd | mdatp config cloud --value [enabled\|disabled] |
| Konfiguration | Aktivera/inaktivera produktdiagnostik | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| Konfiguration | Aktivera/inaktivera automatisk sändning av exempel | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| Konfiguration | Aktivera/inaktivera passivt antivirusläge | mdatp config passive-mode --value [enabled\|disabled] |
| Konfiguration | Lägga till/ta bort ett antivirusundantag för ett filnamnstillägg | mdatp exclusion extension [add\|remove] --name [extension] |
| Konfiguration | Lägga till/ta bort ett antivirusundantag för en fil | mdatp exclusion file [add\|remove] --path [path-to-file] |
| Konfiguration | Lägga till/ta bort ett antivirusundantag för en katalog | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| Konfiguration | Lägga till/ta bort ett antivirusundantag för en process | mdatp exclusion process [add\|remove] --path [path-to-process] |
| Konfiguration | Lägga till/ta bort ett globalt undantag för en fil | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| Konfiguration | Lägga till/ta bort ett globalt undantag för en katalog | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| Konfiguration | Lägga till/ta bort ett globalt undantag för en process | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| Konfiguration | Visa en lista över alla antivirusundantag | mdatp exclusion list |
| Konfiguration | Lägg till ett hotnamn i listan över tillåtna | mdatp threat allowed add --name [threat-name] |
| Konfiguration | Ta bort ett hotnamn från listan över tillåtna | mdatp threat allowed remove --name [threat-name] |
| Konfiguration | Lista alla tillåtna hotnamn | mdatp threat allowed list |
| Konfiguration | Aktivera PUA-skydd | mdatp threat policy set --type potentially_unwanted_application --action block |
| Konfiguration | Inaktivera PUA-skydd | mdatp threat policy set --type potentially_unwanted_application --action off |
| Konfiguration | Aktivera granskningsläge för PUA-skydd | mdatp threat policy set --type potentially_unwanted_application --action audit |
| Konfiguration | Konfigurera grad av parallellitet för genomsökningar på begäran | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| Konfiguration | Aktivera/inaktivera genomsökningar efter uppdateringar av säkerhetsinformation | mdatp config scan-after-definition-update --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera arkivgenomsökning (endast genomsökningar på begäran) | mdatp config scan-archives --value [enabled/disabled] |
| Konfiguration | Aktivera/inaktivera beräkningen av filhash | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| Diagnostik | Ändra loggnivå | mdatp log level set --level verbose [error|warning|info|verbose] |
| Diagnostik | Generera diagnostikloggar | mdatp diagnostic create --path [directory] |
| Diagnostik | Storleksgränser för behållna produktloggar | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| Hälsa | Kontrollera produktens hälsa | mdatp health |
| Skydd | Sök igenom en sökväg | mdatp scan custom --path [path] [--ignore-exclusions] |
| Skydd | Göra en snabbsökning | mdatp scan quick |
| Skydd | Gör en fullständig genomsökning | mdatp scan full |
| Skydd | Avbryta en pågående genomsökning på begäran | mdatp scan cancel |
| Skydd | Begära en säkerhetsinformationsuppdatering | mdatp definitions update |
| Skydd | Återställa säkerhetsinformation till den ursprungliga standarduppsättningen | mdatp definitions restore |
| Skyddshistorik | Skriv ut den fullständiga skyddshistoriken | mdatp threat list |
| Skyddshistorik | Hämta hotinformation | mdatp threat get --id [threat-id] |
| Karantänhantering | Visa en lista över alla filer i karantän | mdatp threat quarantine list |
| Karantänhantering | Ta bort alla filer från karantänen | mdatp threat quarantine remove-all |
| Karantänhantering | Lägga till en fil som identifieras som ett hot i karantänen | mdatp threat quarantine add --id [threat-id] |
| Karantänhantering | Ta bort en fil som identifierats som ett hot från karantänen | mdatp threat quarantine remove --id [threat-id] |
| Karantänhantering | Återställ en fil från karantänen. Finns i Defender för Endpoint-versionen tidigare än 101.23092.0012. |
mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| Karantänhantering | Återställa en fil från karantänen med hot-ID. Tillgängligt i Defender för Endpoint-versionen 101.23092.0012 eller senare. |
mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| Karantänhantering | Återställ en fil från karantänen med den ursprungliga hotsökvägen. Tillgängligt i Defender för Endpoint-versionen 101.23092.0012 eller senare. |
mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| Slutpunktsidentifiering och svar | Ange tidig förhandsversion | mdatp edr early-preview [enabled\|disabled] |
| Slutpunktsidentifiering och svar | Ange grupp-ID | mdatp edr group-ids --group-id [group-id] |
| Slutpunktsidentifiering och svar | Ange/ta bort tagg, stöds endast GROUP |
mdatp edr tag set --name GROUP --value [tag] |
Karantänkatalog för Defender för Endpoint Linux
Standardkatalogen för filer i karantän av MDATP är /var/opt/microsoft/mdatp/quarantine. För bästa resultat använder du kommandot MDATP threat quarantine för att hantera filer i karantän i stället för att flytta eller ändra filer direkt i karantänkatalogen. Direkta filåtgärder rekommenderas inte – använd alltid CLI för säker och stödd karantänhantering.
Avinstallera Defender för Endpoint i Linux
Det finns flera sätt att avinstallera Defender för Endpoint på Linux. Om du använder ett konfigurationsverktyg som Puppet följer du installationsanvisningarna för paketet för konfigurationsverktyget.
Avregistrera Linux-enheter
För att förhindra att inaktiverade enheter visas i enhetsinventeringen och för att säkerställa en mer exakt säkerhetspoängsklassificering lägger du till enhetstaggar till enheter som du vill avregistrera från Defender för Endpoint. Annars visas enheterna i enhetsinventeringen i 180 dagar.
Skapa en enhetstagg och namnge taggen
decommissioned. Tilldela taggen till de Linux-enheter som du vill avregistrera från Defender för Endpoint.Skapa en enhetsgrupp och ge den namnet något i stil med ,
Decommissioned Linux. Tilldela den här taggen till en lämplig användargrupp.I Microsoft Defender-portalen går du till navigeringsfönstret och väljer Inställningar>Avregistrera. I processen Välj operativsystem för att starta avregistreringen väljer du Linux Server och sedan en distributionsmetod.
Om du använder en enhetshanteringslösning som inte kommer från Microsoft inaktiverar du integrering med Defender för Endpoint.
Avinstallera Defender för Endpoint på enheterna.
Manuell avinstallation
-
sudo yum remove mdatpför RHEL och varianter (CentOS och Oracle Linux). -
sudo zypper remove mdatpför SLES och varianter. -
sudo apt-get purge mdatpför Ubuntu- och Debiansystem. -
sudo dnf remove mdatpför Mariner.