Feilsøke installasjonsproblemer for Microsoft Defender for endepunkt på Linux

Gjelder for:

• Microsoft Defender for endepunkt Server
• Microsoft Defender for servere

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Kontroller at installasjonen var vellykket

En feil i installasjonen kan eller kan føre til en meningsfull feilmelding fra pakkebehandlingen. Hvis du vil kontrollere om installasjonen var vellykket, kan du hente og kontrollere installasjonsloggene ved hjelp av:

sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log

grep 'postinstall end' installation.log

microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

Utdata fra den forrige kommandoen med riktig dato og klokkeslett for installasjonen indikerer suksess.

Kontroller også klientkonfigurasjonen for å bekrefte tilstanden til produktet og oppdage EICAR-tekstfilen.

Kontroller at du har riktig pakke

Kontroller at pakken du installerer samsvarer med vertsdistribusjonen og -versjonen.

---

pakke	distribusjon
mdatp-rhel8. Linux.x86_64.rpm	Oracle, RHEL og CentOS 8.x
mdatp-sles12. Linux.x86_64.rpm	SUSE Linux Enterprise Server 12.x
mdatp-sles15. Linux.x86_64.rpm	SUSE Linux Enterprise Server 15.x
mdatp. Linux.x86_64.rpm	Oracle, RHEL og CentOS 7.x
mdatp. Linux.x86_64.deb	Debian og Ubuntu 16.04, 18.04 og 20.04

Kontroller at riktig distro og versjon er valgt for manuell distribusjon.

Obs!

MDE Linux leverer ikke lenger en løsning for RHEL 6.

Installasjonen mislyktes på grunn av avhengighetsfeil

Hvis Microsoft Defender for endepunkt installasjonen mislykkes på grunn av manglende avhengighetsfeil, kan du laste ned forutsetningsavhengighetene manuelt.

Følgende avhengigheter for eksterne pakker finnes for mdatp-pakken:

• Mdatp RPM-pakken krever glibc >= 2.17, , audit, policycoreutils, semanage, selinux-policy-targetedmde-netfilter
• For DEBIAN krever libc6 >= 2.23mdatp-pakken , uuid-runtime, , auditdmde-netfilter

MDE-netfilter-pakken har også følgende pakkeavhengigheter:

• For DEBIAN krever libnetfilter-queue1mde-netfilter-pakken , libglib2.0-0
• For RPM krever libmnlmde-netfilter-pakken , libnfnetlink, , libnetfilter_queueglib2

Installasjonen mislyktes

Kontroller om Defender for Endpoint-tjenesten kjører:

service mdatp status

 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

Fremgangsmåte for å feilsøke hvis mdatp-tjenesten ikke kjører

1. Kontroller om mdatp brukeren finnes:

   id "mdatp"
   

   Hvis det ikke er noen utdata, kjører du

   sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
   

2. Prøv å aktivere og starte tjenesten på nytt ved hjelp av:

   sudo service mdatp start
   

   sudo service mdatp restart
   

3. Hvis mdatp.service ikke blir funnet når du kjører den forrige kommandoen, kjører du:

   sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path> 
   

   hvor <systemd_path> er /lib/systemd/system for Ubuntu- og Debian-distribusjoner og /usr/lib/systemd/system' for Rhel, CentOS, Oracle og SLES. Kjør deretter trinn 2 på nytt.

4. Hvis trinnene ovenfor ikke fungerer, kontrollerer du om SELinux er installert og i aktiveringsmodus. I så fall kan du prøve å sette den til tillatt (fortrinnsvis) eller deaktivert modus. Det kan gjøres ved å angi parameteren SELINUX til permissive eller disabled i /etc/selinux/config filen, etterfulgt av omstart. Se på mann-siden i selinux for mer informasjon.

   Prøv å starte mdatp-tjenesten på nytt ved hjelp av trinn 2. Gjenopprett konfigurasjonsendringen umiddelbart, men av sikkerhetsårsaker etter at du har prøvd den og startet på nytt.

5. Hvis /opt katalogen er en symbolsk kobling, oppretter du en bind-montering for /opt/microsoft.

6. Kontroller at daemonen har kjørbar tillatelse.

   ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
   

   -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   Hvis daemonen ikke har kjørbare tillatelser, gjør du den kjørbar ved hjelp av:

   sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   og prøv å kjøre trinn 2 på nytt.

7. Kontroller at filsystemet som inneholder wdavdaemon, ikke er montert med noexec.

Hvis Defender for Endpoint-tjenesten kjører, men gjenkjenning av EICAR-tekstfiler ikke fungerer

1. Kontroller filtypen ved hjelp av:

   findmnt -T <path_of_EICAR_file>
   

   For øyeblikket er støttede filsystemer for tilgangsaktivitet oppført her. Filer utenfor disse filsystemene skannes ikke.

Mdatp for kommandolinjeverktøy fungerer ikke

1. Hvis det å kjøre kommandolinjeverktøyet mdatp gir en feil command not found, kjører du følgende kommando:

   sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
   

   og prøv på nytt.

   Hvis ingen av trinnene ovenfor hjelper, samler du inn diagnoseloggene:

   sudo mdatp diagnostic create
   

   Diagnostic file created: <path to file>
   

   Banen til en ZIP-fil som inneholder loggene, vises som utdata. Ta kontakt med kundestøtten vår med disse loggene.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.