Compartir a través de


Solución de problemas de instalación de Microsoft Defender para punto de conexión en Linux

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Comprobación de que la instalación se realizó correctamente

Un error en la instalación podría dar lugar o no a un mensaje de error significativo por parte del administrador de paquetes. Para comprobar si la instalación se realizó correctamente, obtenga y compruebe los registros de instalación mediante:

sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log
grep 'postinstall end' installation.log
microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

Una salida del comando anterior con la fecha y hora correctas de instalación indica que se ha realizado correctamente.

Compruebe también la configuración del cliente para comprobar el estado del producto y detectar el archivo de texto EICAR.

Asegúrese de que tiene el paquete correcto.

Compruebe que el paquete que está instalando coincide con la distribución y la versión del host.



paquete distribución
mdatp-rhel8. Linux.x86_64.rpm Oracle, RHEL y CentOS 8.x
mdatp-sles12. Linux.x86_64.rpm SUSE Linux Enterprise Server 12.x
mdatp-sles15. Linux.x86_64.rpm SUSE Linux Enterprise Server 15.x
mdatp. Linux.x86_64.rpm Oracle, RHEL y CentOS 7.x
mdatp. Linux.x86_64.deb Debian y Ubuntu 16.04, 18.04 y 20.04

Para la implementación manual, asegúrese de que la distribución y la versión correctas están seleccionadas.

Nota:

MDE Linux ya no incluye una solución para RHEL 6.

Error de instalación debido a un error de dependencia

Si se produce un error en la instalación de Microsoft Defender para punto de conexión debido a errores de dependencias que faltan, puede descargar manualmente las dependencias de requisitos previos.

Existen las siguientes dependencias de paquetes externos para el paquete mdatp:

  • El paquete RPM de mdatp requiere glibc >= 2.17, audit, policycoreutils, semanage, , , selinux-policy-targetedmde-netfilter
  • Para DEBIAN, el paquete mdatp requiere libc6 >= 2.23, uuid-runtime, , auditdmde-netfilter

El paquete mde-netfilter también tiene las siguientes dependencias del paquete:

  • Para DEBIAN, el paquete mde-netfilter requiere libnetfilter-queue1, libglib2.0-0
  • Para RPM, el paquete mde-netfilter requiere libmnl, libnfnetlink, libnetfilter_queue, glib2

Error de instalación

Compruebe si el servicio Defender para punto de conexión se está ejecutando:

service mdatp status
 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

Pasos para solucionar problemas si el servicio mdatp no se está ejecutando

  1. Compruebe si mdatp el usuario existe:

    id "mdatp"
    

    Si no hay ninguna salida, ejecute

    sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
    
  2. Intente habilitar y reiniciar el servicio mediante:

    sudo service mdatp start
    
    sudo service mdatp restart
    
  3. Si no se encuentra mdatp.service al ejecutar el comando anterior, ejecute:

    sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path> 
    

    donde <systemd_path> es /lib/systemd/system para las distribuciones de Ubuntu y Debian y /usr/lib/systemd/system' para Rhel, CentOS, Oracle y SLES. A continuación, vuelva a ejecutar el paso 2.

  4. Si los pasos anteriores no funcionan, compruebe si SELinux está instalado y en modo de aplicación. Si es así, intente establecerlo en modo permisivo (preferiblemente) o deshabilitado. Se puede hacer estableciendo el parámetro SELINUXpermissive en o disabled en el /etc/selinux/config archivo, seguido del reinicio. Consulte la página man-page de selinux para obtener más detalles.

    Ahora intente reiniciar el servicio mdatp mediante el paso 2. Revierta el cambio de configuración inmediatamente por motivos de seguridad después de probarlo y reiniciar.

  5. Si /opt el directorio es un vínculo simbólico, cree un montaje de enlace para /opt/microsoft.

  6. Asegúrese de que el demonio tiene permiso ejecutable.

    ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
    
    -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
    

    Si el demonio no tiene permisos ejecutables, consiéndolo ejecutable mediante:

    sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
    

    y vuelva a intentar ejecutar el paso 2.

  7. Asegúrese de que el sistema de archivos que contiene wdavdaemon no esté montado con noexec.

Si el servicio Defender para punto de conexión se está ejecutando, pero la detección de archivos de texto EICAR no funciona

  1. Compruebe el tipo de sistema de archivos mediante:

    findmnt -T <path_of_EICAR_file>
    

    Los sistemas de archivos admitidos actualmente para la actividad de acceso se enumeran aquí. No se examinan los archivos que estén fuera de estos sistemas de archivos.

Mdatp de la herramienta de línea de comandos no funciona

  1. Si al ejecutar la herramienta mdatp de línea de comandos se produce un error command not found, ejecute el siguiente comando:

    sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
    

    e inténtelo de nuevo.

    Si ninguno de los pasos anteriores ayuda, recopile los registros de diagnóstico:

    sudo mdatp diagnostic create
    
    Diagnostic file created: <path to file>
    

    La ruta de acceso a un archivo ZIP que contiene los registros se muestra como una salida. Póngase en contacto con nuestro servicio de atención al cliente con estos registros.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.