Felsöka installationsproblem för Microsoft Defender för Endpoint i Linux

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender XDR

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Kontrollera att installationen har slutförts

Ett fel i installationen kan leda till ett meningsfullt felmeddelande från pakethanteraren. Kontrollera om installationen lyckades genom att hämta och kontrollera installationsloggarna med hjälp av:

 sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log

 grep 'postinstall end' installation.log

 microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

Ett utdata från föregående kommando med rätt datum och tid för installationen indikerar att det lyckades.

Kontrollera även klientkonfigurationen för att kontrollera produktens hälsa och identifiera EICAR-textfilen.

Kontrollera att du har rätt paket

Kontrollera att paketet som du installerar matchar värddistributionen och versionen.

---

Paket	Distribution
mdatp-rhel8. Linux.x86_64.rpm	Oracle, RHEL och CentOS 8.x
mdatp-sles12. Linux.x86_64.rpm	SUSE Linux Enterprise Server 12.x
mdatp-sles15. Linux.x86_64.rpm	SUSE Linux Enterprise Server 15.x
mdatp. Linux.x86_64.rpm	Oracle, RHEL och CentOS 7.x
mdatp. Linux.x86_64.deb	Debian och Ubuntu 16.04, 18.04 och 20.04

För manuell distribution kontrollerar du att rätt distribution och version har valts.

Installationen misslyckades på grund av beroendefel

Om Microsoft Defender för Endpoint installationen misslyckas på grund av saknade beroenden kan du manuellt ladda ned de nödvändiga beroendena.

Följande externa paketberoenden finns för mdatp-paketet:

• Mdatp RPM-paketet kräver glibc >= 2.17, audit, policycoreutils, semanage, , selinux-policy-targetedmde-netfilter
• För RHEL6 kräver auditmdatp RPM-paketet , policycoreutils, libselinux, mde-netfilter
• För DEBIAN kräver libc6 >= 2.23mdatp-paketet , uuid-runtime, auditd, mde-netfilter

Paketet mde-netfilter har också följande paketberoenden:

• För DEBIAN kräver libnetfilter-queue1paketet mde-netfilter , libglib2.0-0
• För RPM kräver libmnlpaketet mde-netfilter , libnfnetlink, libnetfilter_queue, glib2

Installationen misslyckades

Kontrollera om Defender för Endpoint-tjänsten körs:

service mdatp status

 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

Steg för att felsöka om mdatp-tjänsten inte körs

1. Kontrollera om mdatp användaren finns:

   id "mdatp"
   

   Om det inte finns några utdata kör du

   sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
   

2. Prova att aktivera och starta om tjänsten med hjälp av:

   sudo service mdatp start
   

   sudo service mdatp restart
   

3. Om mdatp.service inte hittas när du kör föregående kommando kör du:

   sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path> 
   

   where <systemd_path> is /lib/systemd/system for Ubuntu and Debian distributions and /usr/lib/systemd/system' for Rhel, CentOS, Oracle, and SLES. Kör sedan steg 2 igen.

4. Om ovanstående steg inte fungerar kontrollerar du om SELinux är installerat och i framtvingande läge. I så fall kan du prova att ställa in den på tillåtande (helst) eller inaktiverat läge. Det kan göras genom att ange parametern SELINUX till permissive eller disabled i /etc/selinux/config filen, följt av omstart. Mer information finns på man-sidan i selinux. Prova nu att starta om mdatp-tjänsten med hjälp av steg 2. Återställ konfigurationsändringen omedelbart av säkerhetsskäl när du har provat den och startat om den.

5. Om /opt katalogen är en symbolisk länk skapar du en bindningsmontering för /opt/microsoft.

6. Kontrollera att daemon har körbar behörighet.

   ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
   

   -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   Om daemonen inte har körbara behörigheter gör du den körbar med hjälp av:

   sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   och försök köra steg 2 igen.

7. Kontrollera att filsystemet som innehåller wdavdaemon inte är monterat med noexec.

Om Defender för Endpoint-tjänsten körs, men eicar-textfilidentifieringen inte fungerar

1. Kontrollera filsystemtypen med hjälp av:

   findmnt -T <path_of_EICAR_file>
   

   För närvarande finns filsystem som stöds för on-access-aktivitet här. Filer utanför dessa filsystem genomsöks inte.

Kommandoradsverktyget mdatp fungerar inte

1. Om du kör kommandoradsverktyget mdatp ger ett fel command not foundkör du följande kommando:

   sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
   

   och försök igen.

   Om inget av stegen ovan hjälper samlar du in diagnostikloggarna:

   sudo mdatp diagnostic create
   

   Diagnostic file created: <path to file>
   

   Sökvägen till en zip-fil som innehåller loggarna visas som utdata. Kontakta vår kundsupport med dessa loggar.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.