排查 macOS 上Microsoft Defender for Endpoint的安装问题

适用于:

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

安装失败

对于手动安装,安装向导的“摘要”页显示“安装过程中发生错误。 安装程序遇到导致安装失败的错误。 请联系软件发布者寻求帮助。”对于 MDM 部署,它也显示为一般安装失败。

虽然我们不会向最终用户显示确切的错误,但我们在 中保留一个包含安装进度的 /Library/Logs/Microsoft/mdatp/install.log日志文件。 每个安装会话都会追加到此日志文件。 只能使用 sed 输出最后一个安装会话:

sed -n 'H; /^preinstall com.microsoft.wdav begin/h; ${g;p;}' /Library/Logs/Microsoft/mdatp/install.log
preinstall com.microsoft.wdav begin [2020-03-11 13:08:49 -0700] 804
INSTALLER_SECURE_TEMP=/Library/InstallerSandboxes/.PKInstallSandboxManager/CB509765-70FC-4679-866D-8A14AD3F13CC.activeSandbox/89FA879B-971B-42BF-B4EA-7F5BB7CB5695
correlation id=CB509765-70FC-4679-866D-8A14AD3F13CC
[ERROR] Downgrade from 100.88.54 to 100.87.80 is not permitted
preinstall com.microsoft.wdav end [2020-03-11 13:08:49 -0700] 804 => 1

在此示例中,实际原因的 [ERROR]前缀为 。 安装失败,因为不支持这些版本之间的降级。

MDATP 安装日志缺失或未更新

在极少数情况下,安装不会在 MDATP 的 /Library/Logs/Microsoft/mdatp/install.log 文件中留下任何痕迹。 首先,验证是否发生了安装。 然后通过查询 macOS 日志来分析可能的错误。 在没有客户端 UI 的情况下,在 MDM 部署中执行此操作会很有帮助。 建议使用较窄的时间范围来运行查询并按日志记录进程名称进行筛选,因为会有大量信息。

grep '^2020-03-11 13:08' /var/log/install.log
log show --start '2020-03-11 13:00:00' --end '2020-03-11 13:08:50' --info --debug --source --predicate 'processImagePath CONTAINS[C] "install"' --style syslog

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区