Dela via

Felsöka installationsproblem för Microsoft Defender för Endpoint i Linux

  • Artikel

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Kontrollera att installationen har slutförts

Ett fel i installationen kan leda till ett meningsfullt felmeddelande från pakethanteraren. Kontrollera om installationen lyckades genom att hämta och kontrollera installationsloggarna med hjälp av:

 sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log

 grep 'postinstall end' installation.log

 microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

Ett utdata från föregående kommando med rätt datum och tid för installationen indikerar att det lyckades.

Kontrollera även klientkonfigurationen för att kontrollera produktens hälsa och identifiera EICAR-textfilen.

Kontrollera att du har rätt paket

Kontrollera att paketet som du installerar matchar värddistributionen och versionen.


paket fördelning
mdatp-rhel8. Linux.x86_64.rpm Oracle, RHEL och CentOS 8.x
mdatp-sles12. Linux.x86_64.rpm SUSE Linux Enterprise Server 12.x
mdatp-sles15. Linux.x86_64.rpm SUSE Linux Enterprise Server 15.x
mdatp. Linux.x86_64.rpm Oracle, RHEL och CentOS 7.x
mdatp. Linux.x86_64.deb Debian och Ubuntu 16.04, 18.04 och 20.04

För manuell distribution kontrollerar du att rätt distribution och version har valts.

Obs!

MDE Linux inte längre levererar en lösning för RHEL 6.

Installationen misslyckades på grund av beroendefel

Om Microsoft Defender för Endpoint installationen misslyckas på grund av saknade beroenden kan du manuellt ladda ned de nödvändiga beroendena.

Följande externa paketberoenden finns för mdatp-paketet:

  • Mdatp RPM-paketet kräver glibc >= 2.17, audit, policycoreutils, semanage, , selinux-policy-targetedmde-netfilter
  • För DEBIAN kräver libc6 >= 2.23mdatp-paketet , uuid-runtime, auditd, mde-netfilter

Paketet mde-netfilter har också följande paketberoenden:

  • För DEBIAN kräver libnetfilter-queue1paketet mde-netfilter , libglib2.0-0
  • För RPM kräver libmnlpaketet mde-netfilter , libnfnetlink, libnetfilter_queue, glib2

Installationen misslyckades

Kontrollera om Defender för Endpoint-tjänsten körs:

service mdatp status

 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

Steg för att felsöka om mdatp-tjänsten inte körs

  1. Kontrollera om mdatp användaren finns:

    id "mdatp"

    Om det inte finns några utdata kör du

    sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp

  2. Prova att aktivera och starta om tjänsten med hjälp av:

    sudo service mdatp start

    sudo service mdatp restart

  3. Om mdatp.service inte hittas när du kör föregående kommando kör du:

    sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path>

    where <systemd_path> is /lib/systemd/system for Ubuntu and Debian distributions and /usr/lib/systemd/system' for Rhel, CentOS, Oracle, and SLES. Kör sedan steg 2 igen.

  4. Om ovanstående steg inte fungerar kontrollerar du om SELinux är installerat och i framtvingande läge. I så fall kan du prova att ställa in den på tillåtande (helst) eller inaktiverat läge. Det kan göras genom att ange parametern SELINUX till permissive eller disabled i /etc/selinux/config filen, följt av omstart. Mer information finns på man-sidan i selinux. Prova nu att starta om mdatp-tjänsten med hjälp av steg 2. Återställ konfigurationsändringen omedelbart av säkerhetsskäl när du har provat den och startat om den.

  5. Om /opt katalogen är en symbolisk länk skapar du en bindningsmontering för /opt/microsoft.

  6. Kontrollera att daemon har körbar behörighet.

    ls -l /opt/microsoft/mdatp/sbin/wdavdaemon

    -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon

    Om daemonen inte har körbara behörigheter gör du den körbar med hjälp av:

    sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon

    och försök köra steg 2 igen.

  7. Kontrollera att filsystemet som innehåller wdavdaemon inte är monterat med noexec.

Om Defender för Endpoint-tjänsten körs, men eicar-textfilidentifieringen inte fungerar

  1. Kontrollera filsystemtypen med hjälp av:

    findmnt -T <path_of_EICAR_file>

    För närvarande finns filsystem som stöds för on-access-aktivitet här. Filer utanför dessa filsystem genomsöks inte.

Kommandoradsverktyget mdatp fungerar inte

  1. Om du kör kommandoradsverktyget mdatp ger ett fel command not foundkör du följande kommando:

    sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp

    och försök igen.

    Om inget av stegen ovan hjälper samlar du in diagnostikloggarna:

    sudo mdatp diagnostic create

    Diagnostic file created: <path to file>

    Sökvägen till en zip-fil som innehåller loggarna visas som utdata. Kontakta vår kundsupport med dessa loggar.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.