確認安裝是否成功
安裝錯誤可能會或不會在套件管理器中跳出有意義的錯誤訊息。 要驗證安裝是否成功,請取得並檢查安裝日誌,使用以下方法:
sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log
grep 'postinstall end' installation.log
microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216
前一個指令的正確安裝日期與時間輸出即表示成功。
也檢查 客戶端設定 以驗證產品健康狀況並偵測 EICAR 文字檔。
請確保你買的是正確的包裹
確認你安裝的套件是否與主機發行版和版本相符。
| 包裝 | 分布 |
|---|---|
| MDATP-RH8。Linux.x86_64.rpm | Oracle、RHEL 與 CentOS 8.x |
| MDATP-SLES12。Linux.x86_64.rpm | SUSE Linux 企業伺服器 12.x |
| MDATP-SLES15。Linux.x86_64.rpm | SUSE Linux 企業伺服器 15.x |
| MDATP。Linux.x86_64.rpm | Oracle、RHEL 與 CentOS 7.x |
| MDATP。Linux.x86_64.deb | Debian 與 Ubuntu 16.04、18.04 與 20.04 |
手動 部署時,請確保選擇正確的發行版和版本。
注意事項
MDE Linux 不再提供 RHEL 6 的解決方案。
安裝失敗是因為相依錯誤
如果 適用於端點的 Microsoft Defender 安裝因缺少相依錯誤而失敗,您可以手動下載前置相依。
mdatp 套件存在以下外部套件相依關係:
- MDATP RPM 套件需要
glibc >= 2.17 - 對於 DEBIAN 來說,mdatp 套件需要
libc6 >= 2.23
對於比
101.25032.0000之前的版本:
- RPM 套件需求:
mde-netfilter,pcre- DEBIAN 套件需求:
mde-netfilter,libpcre3- 該
mde-netfilter套件還有以下套件相依關係:- 對於 DEBIAN,mde-netfilter 套件需要libnetfilter-queue1和libglib2.0-0- 對於 RPM,mde-netfilter 套件需要libmnl、libnfnetlink、libnetfilter_queue,且glib2從版本101.25042.0003開始,uuid-runtime 不再需要作為外部依賴。
安裝失敗
檢查 Defender for Endpoint 服務是否正在執行:
service mdatp status
● mdatp.service - Microsoft Defender for Endpoint
Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
Main PID: 1966 (wdavdaemon)
Tasks: 105 (limit: 4915)
CGroup: /system.slice/mdatp.service
├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
└─1968 /opt/microsoft/mdatp/sbin/wdavdaemon
如果 MDATP 服務沒有執行,故障排除步驟
請確認是否有
mdatp使用者:id "mdatp"如果沒有輸出,就跑
sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp試著用以下方法啟用並重新啟動服務:
sudo service mdatp startsudo service mdatp restart如果執行前一個指令找不到 mdatp.service,請執行:
sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path>其中
<systemd_path>是/lib/systemd/systemUbuntu 與 Debian 發行版的 ,/usr/lib/systemd/system' 則用於 Rhel、CentOS、Oracle 與 SLES。 然後重跑第二步。如果上述步驟都沒用,請檢查是否已安裝SELinux並處於強制模式。 如果有,試著把它設成允許模式 (最好是) 或停用模式。 這可以透過將參數
SELINUX設為 或permissivedisabledin/etc/selinux/configfile 來完成,然後重新啟動。 想了解更多詳情,請參考 SELinaxion 的官方頁面。現在試著用步驟 2 重新啟動 mdatp 服務。 不過試過後為了安全起見,請立即還原設定變更並重新啟動。
如果
/opt目錄是符號連結,則建立綁定掛載。/opt/microsoft確保守護程序擁有可執行權限。
ls -l /opt/microsoft/mdatp/sbin/wdavdaemon-rwxr-xr-x 2 root root 15502160 Mar 3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon如果守護程序沒有可執行權限,請用以下方法讓它成為可執行:
sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon然後再試一次,執行第二步。
確保包含 wdavdaemon 的檔案系統沒有被掛載成
noexec。
如果 Defender for Endpoint 服務正在執行,但 EICAR 文字檔偵測無法運作
請使用以下方法檢查檔案系統類型:
findmnt -T <path_of_EICAR_file>目前支援存取時活動的檔案系統列 於此。 這些檔案系統以外的檔案不會被掃描。
命令列工具 mdatp 無法運作
如果執行命令列工具
mdatp出現錯誤command not found,請執行以下指令:sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp再試一次。
如果以上步驟都無效,請收集診斷日誌:
sudo mdatp diagnostic createDiagnostic file created: <path to file>包含日誌的壓縮檔路徑會以輸出方式顯示。 請帶著這些紀錄聯絡我們的客服。