針對Linux上 適用於端點的 Microsoft Defender的安裝問題進行疑難解答
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
確認安裝成功
安裝中的錯誤可能會或可能不會導致套件管理員產生有意義的錯誤訊息。 若要確認安裝是否成功,請使用下列專案取得並檢查安裝記錄:
sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log
grep 'postinstall end' installation.log
microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216
上一個命令的輸出具有正確的安裝日期和時間,表示成功。
另請檢查 用戶端組態 以確認產品的健康情況,並偵測 EICAR 文字檔。
請確定您有正確的套件
確認您要安裝的套件符合主機散發套件和版本。
| 包 | 分配 |
|---|---|
| mdatp-rhel8。Linux.x86_64.rpm | Oracle、RHEL 和 CentOS 8.x |
| mdatp-sles12。Linux.x86_64.rpm | SUSE Linux Enterprise Server 12.x |
| mdatp-sles15。Linux.x86_64.rpm | SUSE Linux Enterprise Server 15.x |
| mdatp。Linux.x86_64.rpm | Oracle、RHEL 和 CentOS 7.x |
| mdatp。Linux.x86_64.deb | Debian 和 Ubuntu 16.04、18.04 和 20.04 |
針對 手動部署,請確定已選取正確的散發版本和版本。
注意事項
MDE Linux 不再提供 RHEL 6 的解決方案。
安裝因相依性錯誤而失敗
如果 適用於端點的 Microsoft Defender 安裝因為遺漏相依性錯誤而失敗,您可以手動下載必要條件相依性。
mdatp 套件有下列外部套件相依性:
- mdatp RPM 套件需要
glibc >= 2.17、audit、、policycoreutils、semanage、selinux-policy-targetedmde-netfilter - 若為 DEBIAN,mdatp 套件需要
libc6 >= 2.23、、uuid-runtime、auditdmde-netfilter
mde-netfilter 套件也有下列套件相依性:
- 若為 DEBIAN,mde-netfilter 套件需要
libnetfilter-queue1、libglib2.0-0 - 針對 RPM,mde-netfilter 套件需要
libmnl、、libnfnetlink、libnetfilter_queueglib2
安裝失敗
檢查適用於端點的 Defender 服務是否正在執行:
service mdatp status
● mdatp.service - Microsoft Defender for Endpoint
Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
Main PID: 1966 (wdavdaemon)
Tasks: 105 (limit: 4915)
CGroup: /system.slice/mdatp.service
├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
└─1968 /opt/microsoft/mdatp/sbin/wdavdaemon
針對 mdatp 服務是否未執行進行疑難解答的步驟
檢查使用者是否
mdatp存在:id "mdatp"如果沒有輸出,請執行
sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp嘗試使用下列項目來啟用和重新啟動服務:
sudo service mdatp startsudo service mdatp restart如果在執行上一個命令時找不到 mdatp.service,請執行:
sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path>其中
<systemd_path>適用於/lib/systemd/systemUbuntu 和 Debian 散發套件,而 Rhel、CentOS、Oracle 和 SLES 則為 /usr/lib/systemd/system'。 然後重新執行步驟 2。如果上述步驟無法運作,請檢查是否已安裝 SELinux 並處於強制執行模式。 如果是,請嘗試將它設定為寬鬆 (最好) 或停用模式。 方法是將 參數
SELINUX設定為permissive或disabled檔案,/etc/selinux/config然後重新啟動。 如需詳細資訊,請參閱 selinux 的 man 頁面。 現在,請嘗試使用步驟 2 重新啟動 mdatp 服務。 基於安全性考慮,請在嘗試並重新啟動之後立即還原組態變更。如果
/opt目錄是符號連結,請為/opt/microsoft建立系結掛接。確定精靈具有可執行文件許可權。
ls -l /opt/microsoft/mdatp/sbin/wdavdaemon-rwxr-xr-x 2 root root 15502160 Mar 3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon如果精靈沒有可執行檔案許可權,請使用下列專案使其成為可執行檔:
sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon然後重試執行步驟 2。
請確定包含 wdavdaemon 的檔案系統未使用 掛接
noexec。
如果適用於端點的 Defender 服務正在執行,但 EICAR 文字檔偵測無法運作
使用下列項目檢查檔案系統類型:
findmnt -T <path_of_EICAR_file>目前支援用於存取活動的檔案系統列 於此處。 不會掃描這些文件系統以外的任何檔案。
命令行工具 mdatp 無法運作
如果執行命令列工具
mdatp時發生錯誤command not found,請執行下列命令:sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp然後再試一次。
如果上述步驟都沒有説明,請收集診斷記錄:
sudo mdatp diagnostic createDiagnostic file created: <path to file>包含記錄檔的 zip 檔案路徑會顯示為輸出。 使用這些記錄與我們的客戶支援人員聯繫。
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。