Felsöka händelser eller aviseringar som saknas för Microsoft Defender för Slutpunkt i LinuxTroubleshoot missing events or alerts issues for Microsoft Defender for Endpoint on Linux

Gäller för:Applies to:

Den här artikeln innehåller några allmänna steg för att minimera saknade händelser eller varningar i säkerhetscenterportalen.This article provides some general steps to mitigate missing events or alerts in the security center portal.

När Microsoft Defender för slutpunkt har installerats korrekt på en enhet genereras en enhetssida i portalen.Once Microsoft Defender for Endpoint has been installed properly on a device, a device page will be generated in the portal. Du kan granska alla inspelade händelser på tidslinjefliken på enhetens sida eller på en avancerad sida för sök.You can review all recorded events in the timeline tab in the device page, or in advanced hunting page. Det här avsnittet felsöker eventuella eller alla förväntade händelser saknas.This section troubleshoots the case of some or all expected events are missing. Till exempel om alla CreatedFile-händelser saknas.For instance, if all CreatedFile events are missing.

Nätverks- och inloggningshändelser saknasMissing network and login events

Microsoft Defender för Endpoint används ramverk audit från linux för att spåra nätverks- och inloggningsaktivitet.Microsoft Defender for Endpoint utilized audit framework from linux to track network and login activity.

  1. Kontrollera att granskningsramverket fungerar.Make sure audit framework is working.

    service auditd status
    

    förväntat utdata:expected output:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. Starta auditd om den har markerats som stoppad.If auditd is marked as stopped, start it.

    service auditd start
    

På SLES-system kan SYSCALL-granskning i auditd vara inaktiverad som standard och kan redovisas för saknade händelser.On SLES systems, SYSCALL auditing in auditd might be disabled by default and can be accounted for missing events.

  1. Verifiera att SYSCALL-granskning inte är inaktiverat genom att lista de aktuella granskningsreglerna:To validate that SYSCALL auditing is not disabled, list the current audit rules:

    sudo auditctl -l
    

    Om följande rad finns tar du bort den eller redigerar den för att aktivera Microsoft Defender för Endpoint för att spåra specifika SYSCALLs.if the following line is present, remove it or edit it to enable Microsoft Defender for Endpoint to track specific SYSCALLs.

    -a task, never
    

    finns på /etc/audit/rules.d/audit.rules .audit rules are located at /etc/audit/rules.d/audit.rules.

Filhändelser som saknasMissing file events

Filhändelser samlas in med fanotify framework.File events are collected with fanotify framework. Om vissa eller alla filhändelser saknas kontrollerar du att fanotify är aktiverat på enheten och att filsystemet stöds.In case some or all file events are missing, make sure fanotify is enabled on the device and that the file system is supported.

Ange filsystemen på datorn med:List the filesystems on the machine with:

df -Th