Felsöka installationsproblem för Microsoft Defender för Slutpunkt i Linux

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Kontrollera att installationen har lyckats

Ett fel vid installationen kan eller kanske inte resultera i ett meningsfullt felmeddelande av pakethanteraren. Kontrollera om installationen lyckades genom att hämta och kontrollera installationsloggarna med hjälp av:

 sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log
 grep 'postinstall end' installation.log
 microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

Ett utdata från föregående kommando med rätt datum och tid för installationen anger framgång.

Kontrollera även klientkonfigurationen för att verifiera produktens hälsa och identifiera TEXTFILEN EICAR.

Kontrollera att du har rätt paket

Kontrollera att paketet som du installerar matchar värddistributionen och versionen.



paket distribution
mdatp-rhel8. Linux.x86_64.rpm Oracle, RHEL och CentOS 8.x
mdatp-sles12. Linux.x86_64.rpm SUSE Linux Enterprise Server 12.x
mdatp-sles15. Linux.x86_64.rpm SUSE Linux Enterprise Server 15.x
mdatp. Linux.x86_64.rpm Oracle, RHEL och CentOS 7.x
mdatp. Linux.x86_64.deb Ubuntu och Ubuntu 16.04, 18.04 och 20.04

Vid manuell distributionkontrollerar du att rätt distro och version har valts.

Installationen misslyckades

Kontrollera om Defender för slutpunktstjänsten körs:

service mdatp status
 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

Steg för felsökning om mdatp-tjänsten inte körs

  1. Kontrollera om "mdatp"-användaren finns:

    id "mdatp"
    

    Om det inte finns några utdata kör du

    sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
    
  2. Prova att aktivera och starta om tjänsten med hjälp av:

    sudo service mdatp start
    
    sudo service mdatp restart
    
  3. Om mdatp.service inte hittas när du kör föregående kommando kör du:

    sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path> 
    

    where <systemd_path> is for Ubuntu and Distributions Distributions and /lib/systemd/system /usr/lib/systemd/system' for Rhel, CentOS, Oracle and SLES. Kör sedan steg 2 igen.

  4. Om stegen ovan inte fungerar kontrollerar du om SELinux är installerat och i tvingande läge. I så fall kan du försöka ställa in det på tillåtande (helst) eller inaktiverat läge. Det kan göras genom att ange parametern SELINUX till "tillåtande" eller "inaktiverad" i /etc/selinux/config filen, följt av omstart. Mer information finns på sidan med selinux. Prova nu att starta om mdatp-tjänsten med steg 2. Återställ konfigurationsändringen omedelbart, men av säkerhetsskäl när du har försökt och startat om den.

  5. Om /opt katalog är en symbolisk länk skapar du ett bindfästen för /opt/microsoft .

  6. Kontrollera att daemon har körbar behörighet.

    ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
    
    -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
    

    Om daemon inte har körbara behörigheter gör du det körbart med hjälp av:

    sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
    

    och försöker köra steg 2 igen.

  7. Kontrollera att filsystemet som innehåller wdavdaemon inte har "noexec".

Om Defender för slutpunktstjänsten körs, men EICAR-textfilidentifiering inte fungerar

  1. Kontrollera filsystemtypen med hjälp av:

    findmnt -T <path_of_EICAR_file>
    

    De filsystem som för närvarande stöds för aktivitet vid åtkomst anges här. Filer utanför dessa filsystem genomsöks inte.

Kommandoradsverktyget "mdatp" fungerar inte

  1. Om ett fel visas när mdatp kommandoradsverktyget körs command not found kör du följande kommando:

    sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
    

    och försök igen.

    Om inget av stegen ovan hjälper samlar du in diagnostikloggarna:

    sudo mdatp diagnostic create
    
    Diagnostic file created: <path to file>
    

    Sökväg till en zip-fil som innehåller loggarna visas som en utdatafil. Kontakta vår kundsupport med de här loggarna.