Microsoft Defender for Endpoint on Linux のインストールに関する問題のトラブルシューティングTroubleshoot installation issues for Microsoft Defender for Endpoint on Linux

• 2021/04/13
• • D

適用対象:Applies to:

• Microsoft Defender for EndpointMicrosoft Defender for Endpoint
• Microsoft 365 DefenderMicrosoft 365 Defender

Defender for Endpoint を体験してみませんか?Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.

インストールが成功した場合の確認Verify if installation succeeded

インストール時にエラーが発生した場合と、パッケージ マネージャーによる意味のあるエラー メッセージが表示されない場合があります。An error in installation may or may not result in a meaningful error message by the package manager. インストールが成功した場合は、以下を使用してインストール ログを取得して確認します。To verify if the installation succeeded, obtain and check the installation logs using:

sudo journalctl | grep 'microsoft-mdatp'  > installation.log

 grep 'postinstall end' installation.log

 microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

正しい日付とインストール時刻を持つ前のコマンドからの出力は、成功を示します。An output from the previous command with correct date and time of installation indicates success.

また、クライアント構成 を確認 して製品の正常性を確認し、EICAR テキスト ファイルを検出します。Also check the Client configuration to verify the health of the product and detect the EICAR text file.

正しいパッケージがインストールされていることを確認するMake sure you have the correct package

インストールするパッケージがホストの配布とバージョンと一致している場合に注意してください。Please mind that the package you are installing is matching the host distribution and version.

手動 展開の場合は、正しいディストリビューションとバージョンが選択されていることを確認します。For manual deployment, make sure the correct distro and version had been chosen.

インストールに失敗しましたInstallation failed

mdatp サービスが実行されている場合は、次のチェックを行います。Check if the mdatp service is running:

systemctl status mdatp

 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

mdatp サービスが実行されていない場合のトラブルシューティング手順Steps to troubleshoot if mdatp service isn't running

1. "mdatp" ユーザーが存在するかどうかを確認します。Check if "mdatp" user exists:

   id "mdatp"
   

   出力がない場合は、次のコマンドを実行します。If there’s no output, run

   sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
   

2. 次のコマンドを使用して、サービスを有効にし、再起動してみてください。Try enabling and restarting the service using:

   sudo systemctl enable mdatp
   

   sudo systemctl restart mdatp
   

3. 前のコマンドを実行した際に mdatp.service が見つからない場合は、次のコマンドを実行します。If mdatp.service isn't found upon running the previous command, run:

   sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path>
   

   Ubuntu <systemd_path> /lib/systemd/system と Debian の配布と /usr/lib/systemd/system 、Rhel、CentOS、Oracle、SLES の場合です。where <systemd_path> is /lib/systemd/system for Ubuntu and Debian distributions and /usr/lib/systemd/system for Rhel, CentOS, Oracle and SLES. 次に、手順 2 を再実行します。Then rerun step 2.

4. 上記の手順が機能しない場合は、SELinux がインストールされ、エンフォースモードになっているか確認してください。If the above steps don’t work, check if SELinux is installed and in enforcing mode. その場合は、これを制限モード (できれば) または無効モードに設定してみてください。If so, try setting it to permissive (preferably) or disabled mode. これは、パラメーターをファイル内で "permissive" または "disabled" に設定し、その後再起動 SELINUX /etc/selinux/config することで実行できます。It can be done by setting the parameter SELINUX to "permissive" or "disabled" in /etc/selinux/config file, followed by reboot. 詳細については、selinux のマン ページを確認してください。Check the man-page of selinux for more details. 次に、手順 2 を使用して mdatp サービスを再起動します。Now try restarting the mdatp service using step 2. 試して再起動した後、セキュリティ上の理由から、構成の変更を直ちに元に戻します。Revert the configuration change immediately though for security reasons after trying it and reboot.

5. ディレクトリ /opt がシンボリック リンクの場合は、バインド マウントを作成します /opt/microsoft 。If /opt directory is a symbolic link, create a bind mount for /opt/microsoft.

6. デーモンが実行可能なアクセス許可を持っている必要があります。Ensure that the daemon has executable permission.

   ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
   

   -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   デーモンに実行可能なアクセス許可が設定できない場合は、次のコマンドを使用して実行可能にします。If the daemon doesn't have executable permissions, make it executable using:

   sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   をクリックし、手順 2 の実行を再試行します。and retry running step 2.

7. wdavdaemon を含むファイル システムが "noexec" でマウントされていないか確認します。Ensure that the file system containing wdavdaemon isn't mounted with "noexec".

mdatp サービスが実行されているが、EICAR テキスト ファイルの検出が機能しない場合If mdatp service is running, but EICAR text file detection doesn't work

1. 次を使用してファイル システムの種類を確認します。Check the file system type using:

   findmnt -T <path_of_EICAR_file>
   

   現在、オンアクセス アクティビティでサポートされているファイル システムの一覧を次に示 します。Currently supported file systems for on-access activity are listed here. これらのファイル システム外のファイルはスキャンされません。Any files outside these file systems won't be scanned.

コマンド ライン ツール "mdatp" が機能しないCommand-line tool “mdatp” isn't working

1. コマンド ライン ツールを実行するとエラーが mdatp 発生する場合は command not found 、次のコマンドを実行します。If running the command-line tool mdatp gives an error command not found, run the following command:

   sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
   

   もう一度やり直してください。and try again.

   上記の手順のいずれも問題が解決しない場合は、診断ログを収集します。If none of the above steps help, collect the diagnostic logs:

   sudo mdatp diagnostic create
   

   Diagnostic file created: <path to file>
   

   ログを含む zip ファイルへのパスが出力として表示されます。Path to a zip file that contains the logs will be displayed as an output. これらのログを使用してカスタマー サポートに問い合わせください。Reach out to our customer support with these logs.